Unstimmigkeiten in hijackthis-logfile

lead341 · 23. Juli 2007

Hallo,

ich lasse auf meinem Rechner regelmässig Programme wie Sophos Antivirus, Adaware, Spybot und CCleaner laufen. Dennoch hat mich der hijack-this scan etwas stutzig gemacht. Ich habe das logfile im Anhang kopiert. Da ich nicht zweifelsfrei "Schädlinge" von sinnvollen Programmen und Prozessen trennen kann, würde ich mich über ein paar kurze Tips sehr freuen.

Gruss lead

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Microsoft Hardware\Keyboard\type32.exe
D:\WINDOWS\CTHELPER.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\DAEMON Tools\daemon.exe
D:\Programme\Sophos\AutoUpdate\ALMon.exe
D:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
D:\Programme\Sophos\AutoUpdate\ALsvc.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\system32\studnet\studnet.exe
D:\Programme\Sophos\Sophos Anti-Virus\SAVMain.exe
D:\Programme\Sophos\Sophos Anti-Virus\SavProgress.exe
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
D:\Dokumente und Einstellungen\Andy\Desktop\usf\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - D:\WINDOWS\Downloaded Program Files\gbieh.dll
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [IntelliType] "D:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "D:\Programme\RivaTuner v2.0 Final Release\RivaTuner.exe" /S
O4 - HKCU\..\Run: [NVIDIA nTune] "D:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - Global Startup: AutoUpdate Monitor.lnk = D:\Programme\Sophos\AutoUpdate\ALMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O16 - DPF: {0D41B8C5-2599-4893-8183-00195EC8D5F9} (asusTek_sysctrl Class) - http://support.asus.com/common/asusTek_sys_ctrl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC79C4B8-134D-4BFA-83C1-F11F6B258430}: NameServer = 139.18.25.3
O23 - Service: Adobe LM Service - Adobe Systems - D:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Gbp Service (GbpSv) - GAS Tecnologia LTDA - D:\Programme\GbPlugin\GbpSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - D:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - D:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - D:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - D:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - D:\Programme\Sophos\AutoUpdate\ALsvc.exe

Spielkind · 23. Juli 2007

Das erstellte Log-File besteht aus 3 Bereichen:
Oberer Bereich: Systeminformationen - Patchstand
Mittlerer Bereich: Aktuell laufende Prozesse
Unterer Bereich: R0 bis O23 Einträge

>Quelle<
http://www.trojaner-board.de/17493-anleitung-hijackthis.html

Bedeutung der R0 bis O23 Einträge
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html

Automatische Logfileauswertung
http://www.hijackthis.de

>D:\WINDOWS\system32\studnet\studnet.exe
Ist Studnet (bzw. studnet.exe) ein Programm eines Studentnetzwerkzuganges? Kennst du das Programm?

Fragliche Dateien bitte auf http://virusscan.jotti.org/de/ überprüfen. Googeln bringt die Datei studnet.exe mit Virenfunden von AntiVir in Verbindung.

>O17 - HKLM\System\CCS\Services\Tcpip\..\{BC79C4B8-134D-4BFA-83C1-F11F6B258430}: NameServer = 139.18.25.3

Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Für vorhandene 'NameServer' (DNS Server) Einträge, hilft im Zweifel eine Suche mit Google nach den IP-Adressen bei der Entscheidung, ob diese Einträge 'gut' oder 'schlecht' sind.

>Quelle<
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial-p2.html#o17

Die genannte IP Adresse wird mit der Uni Leipzig in Verbindung gebracht. Kann das sein?

Edit:
>D:\Programme\DAEMON Tools\daemon.exe
Nichts worüber sich HiJackThis aufregen würde aber mein F-Secure hat, als ich einmal die Daemon Tools installieren wollte, wegen einer Adware Infizierung gemeckert. Logisch, das ich anschließend dankend auf das Programm verzichtete! Afair ist das Deamon Tools in D-Land zwischenzeitlich auch nicht mehr erlaubt?!

PS: Opps, Schnapszahl

lead341 · 23. Juli 2007

Danke für die ausführliche Antwort.

Sorge bereitet mir die Zeile:

O2 - BHO: G-Buster Browser Defense - {C41A1C0E-EA6C-11D4-B1B8-444553540000} - D:\WINDOWS\Downloaded Program Files\gbieh.dll

Ich bekomme die gbieh.dll einfach nicht gelöscht. Könnte dies ein Virus sein?

Und eine generelle Frage: können derartige Programme - viren, malware etc. - für bluescreens, insbesondere in Verbindung mit der Datei nv4_disp.dll (nvidia-Haupttreiber) in Verbindung stehen?

Gruss lead

kabe1brand · 24. Juli 2007

http://www.file.net/prozess/gbieh.dll.html
danach ists sicher oder wie in den comments auch angemerkt ma gucken was der nach mir verlinkt hat

und ein wurm/virus könnte im entferntesten natürlich schon bluescreens verursachen, je nachdem was für software du alles laufen hast und inwieweit die gepatcht ist etc... allerdings bringt es keinem was nen wurm zu haben der den rechner abschießt, schließlich wäre ein zombie rechner der online ist mehr wert (zb spam versenden lassen).
bluescreens mit der nv4_display datei können so ziemlich alle möglichen ursachen haben von defektem lüfter/netzteil, falschen treibern bzw nicht korrekt installierter software, defektem ram oder defekter festplatte oder auch fehler der grafikkarte selbst...

jodd · 24. Juli 2007

wahrscheinlich ein trojaner, siehe z.b. hier:

http://www.avira.com/de/threats/section/fulldetails/id_vir/3213/tr_spy.bancos.u.2287.html oder

http://www.avira.com/de/threats/section/fulldetails/id_vir/2678/tr_spy.banker.717291.html

Boogeyman · 24. Juli 2007

Du kannst und solltest auch mal einen Online Scan machen, was ich generell mal alle 4-6 Wochen im Wechsel empfehlen würde.

[HowTo] Malware / Spyware entfernen
9b Online Virenscanner

https://www.computerbase.de/forum/threads/malware-spyware-entfernen.302565/

Spielkind · 24. Juli 2007

@lead341

Ist der Name des Browser Helper Objekts (BHO) unbekannt, kann in TonyK's BHO & Toolbar List die CLSD ('Class Identifier' -> Zahlen-/Buschstabenkolonnen in geschweiften Klammern {} ) gesucht werden In der BHO Liste bedeutet 'X' Spyware und 'L' sicherer Eintrag.

>Quelle<
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial-p2.html#o2

>Quelle<
http://www.sysinfo.org/bholist.php

Wenn ich das mache was in dem Link empfohlen wird wird mir dieses Browser Helper Objekt als ein sicherer Eintrag angezeigt:
http://www.sysinfo.org/bholist.php?filter=C41A1C0E-EA6C-11D4-B1B8-444553540000

Die Datei läßt sich vermutlich deshalb nicht löschen, da sie als Browser Helper Objekt vom IE benutzt wird. Deshalb muss sie noch lange kein Virus sein. Afaik nistet sich bei den BHO meist Spyware o.ä. ein.

Bei solchen Dateien im Zweifelsfalle stets den http://virusscan.jotti.org/de/ befragen.

Warum den IE zum Browsen verwenden? Ein reglementierter Browser ala Firefox + NoScript + Adblock macht das Browsen sicherer und werbefrei.

Suche

Unstimmigkeiten in hijackthis-logfile

lead341

Lt. Commander

Spielkind

Rear Admiral

lead341

Lt. Commander

kabe1brand

Lt. Junior Grade

jodd

Gast

Boogeyman

Vice Admiral

Spielkind

Rear Admiral

Ähnliche Themen