[Elren Luthien]

Hallo

bin gerade bei einem Freund und wollte mal horchen, was ihr zu seinem Logfile
sagt. Ist das okay, oder eher nicht so?

Dafür, das er kein SP2 drauf hat habe ich ihm schon sie Ohren langgezogen.

Danke im Vorraus, Elren.


Logfile of HijackThis v1.99.0
Scan saved at 20:27:58, on 28.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
C:\Programme\FerrariWallPaper\FerrariWP.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\mcafeshield.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\saphirsb.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Dokumente und Einstellungen\DVAG\Desktop\hijackthis_199\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE
O4 - HKLM\..\Run: [FerrariWallPaper] C:\Programme\FerrariWallPaper\FerrariWP.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Mcafee Auto Protect] mcafeshield.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Mcafee Auto Protect] mcafeshield.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mcafee Auto Protect] mcafeshield.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{93AFE6B6-EE8A-4EAE-A76F-1A704740D6B1}: NameServer = 217.237.151.33 217.237.149.225
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Saphir_StandbyXP - HST High Soft Tech GmbH - C:\WINDOWS\System32\saphirsb.exe
O23 - Service: WLTRYSVC - Unknown - C:\WINDOWS\System32\wltrysvc.exe C:\WINDOWS\System32\bcmwltry.exe (file missing)

[flo]

Er hat sicherlich ne Firewall oder einen Virenscanner von MC AFFEe oder?

C:\WINDOWS\System32\mcafeshield.exe

Kennst du den Proßeß(Programm)
C:\PROGRA~1\LAUNCH~1\QtZiAcer.EXE

Das ist sicherlich was von ner Graka, hat er eine Saphire?
C:\WINDOWS\System32\saphirsb.exe

Kennst du die prozeße?
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe


Den kannst du Fixen, is unnötig


Und den SP2 auch installieren!



Edit: Regenwurm war schneller!

Dieser Beitrag wurde von Flo01 bearbeitet: 28. Januar 2005 - 20:44

[Elren Luthien]

Eigentlich nur das aktuelle Stinger-Tool.

Kommt mir auch spanisch vor.

[flo]

dann laß die mcafeshield.exe hier mal auf Maleware testen

und die beiden auch, aber nacheinander

wltrysvc.exe
bcmwltry.exe

Dieser Beitrag wurde von Flo01 bearbeitet: 28. Januar 2005 - 20:47

[DKind]

Hier haste mal die Auswertung. Fast alle unbekannten Einräge sollten gefixt werden !!!

Auswertung

[Elren Luthien]

bin dabei, editier gleich fürs ergebnis.

mcafeeshield hatte nix. Shice ISDN.

Dieser Beitrag wurde von Elren Luthien bearbeitet: 28. Januar 2005 - 20:53

[flo]

Zitat

Hier haste mal die Auswertung. Fast alle unbekannten Einräge sollten gefixt werden !!!

Mit welcher Begründung?

@Elren Luthien

Schau mal ín den Eigenschaften des Prozesses nach was da alles steht+

Hatte er mal was von MC AFFEE Drauf?

Dieser Beitrag wurde von Flo01 bearbeitet: 28. Januar 2005 - 21:03

[Elren Luthien]

Also

bcmwltry.exe gehört laut Eigenschaften zum WLAN 802.11g mini-PCI Module Tray Applet



wltrysvc.exe, da zeigen die Eigenschaften gornix an, nur das es eine Anwendung
mit 44kb ist und in c:/windows/system32 wohnt.


beide virenfrei


Auf dem Rechner befinden sich eine BlueTooth-Verbindung und die Drahtlos- Netzwerkverbindung (WLan denke ich). vielleicht gehört zweiteres zu Blue Tooth...

Zitat

Hatte er mal was von MC AFFEE Drauf?

Laut seiner Aussage nie, eben nur seit heut der Avert-Stinger.

Dieser Beitrag wurde von Elren Luthien bearbeitet: 28. Januar 2005 - 21:05

[flo]

der stinger is doch vom MC Affee oder?

Dieser Beitrag wurde von Flo01 bearbeitet: 28. Januar 2005 - 21:08

[Elren Luthien]

Zitat (Flo01: 28.01.2005, 21:06)

der stinger is doch vom MC Affee oder?
<{POST_SNAPBACK}>

Nö wie oben geschrieben
Edit: ja flo01, der stinger ist von mcafee.



Hab mal nach der oberen datei gegoogelt


wltrysvc.exe is a "Broadcom Corporation Wireless Network Tray Applet

also gu denke ich.

Dieser Beitrag wurde von Elren Luthien bearbeitet: 28. Januar 2005 - 21:10

[flo]

jo und da der Stinger vom MCafee is, kann man davon ausgehen, das die datei von dem ist, der rechner scheitnt sauber zu sein

kannst die Unbekannten einträge ja mal in Matzes Hijackthis thread posten, dann fügt er sie ein

[Elren Luthien]

Jau mach ich gleich morgen, danke für die Antworten.


Aber ich werd ihn mir trotzdem mal zur Brust nehmen zwecks Netzwerksicherheit
und Updates und so, das kann ja wohl nicht sein.

SP1.. tztztz...

Hab nochmal gegogglt:

mcafeshield ist der trojaner W32/Rbot-UH!!!

Link für mcafeshield.exe

Dieser Beitrag wurde von Elren Luthien bearbeitet: 28. Januar 2005 - 21:38