Hijacklogfile vom Freund

Hallo, hier das Logfile von einem PC eines Freundes (nicht meins!)
Er ist der absolute nur-user, der bis vor wenigen Monaten absolut 0 (in Worten Null) Ahnung gehabt hat, sich dann einen vorinstallierten PC gekauft hat und sich durch try and error alles mehr oder weniger selbst beigebracht, von der Mausbenutzung bis zu MS-WORD (respektabel). Ich befürchte nur, dass er noch nicht so das rechte Sicherheitsverständnis hat und beim surfen sich vielleicht was eingefangen hat.
"Grundaufklärung" meinerseits läuft stockend an, da ich von XP nicht allzuviel weiss und ich auch schlecht "vor Ort" agieren kann.
Vor einer Woche hat er auf Anraten von mir erstmalig den XP internen Firewall aktiviert.
Leider reichen meine Kenntnisse nicht aus zu einer Beurteilung des Logfiles.
Habt ihr maln Blick drauf?
THX
H.


Logfile of HijackThis v1.97.7
Scan saved at 16:42:16, on 21.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\Programme\Super\super.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\********\Lokale Einstellungen\Temporary Internet Files\Content.IE5\G903CJ0R\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [CreateCD50] C:\PROGRA~1\GEMEIN~1\ADAPTE~1\CreateCD\CREATE~1.EXE -r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {10372968-EEA7-4918-8EA4-9F9CE488AD29} (StarInstall Control) - http://213.76.131.84/install/ibsload.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1417E8-645B-427F-A11A-F04AF6D75D09}: NameServer = 62.104.191.241 62.104.196.134

 

C:\WINDOWS\slrundll.exe

Bitte mal hier pürfen:
http://www.kaspersky.com/de/remoteviruschk.html

 

Also wenn das Programm Super mit der super.exe nicht mit Absicht installiert ist, dann ist das ein kleines Programm, dass es einem Back-Door Trojaner erlaubt, einen entfernten Remote mit Admin Rechten auszuführen. Ist ein Tool der hackerszene in den frühen 90ern, was er ja aber bestimmt nicht ist.

 

Hallo C. C. A.

Bis auf dieses Super.exe kann ich nichts verdächtiges entdecken.

Ich würde empfehlen, daß dein Freund mal Ad-Aware und Spybot installiert und nach der Installation die Programme über die Updatefunktion aktualisiert. Anschließend soll er beide Programme nacheinander durchlaufen lassen und alles Gefundene entfernen.

Gruß
Nevok