RPG-Maker Quartier • Thema anzeigen - Viren- und Trojanerbefall Sammelthread

Unbeantwortete Themen | Aktive Themen

Foren-Übersicht » Off-Topic » Computer - Hardware und Software

Alle Zeiten sind UTC + 1 Stunde

Viren- und Trojanerbefall Sammelthread

Moderatoren: P.K., Xardas der Dunkle

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste

Seite 1 von 3

[ 43 Beiträge ]

Gehe zu Seite 1, 2, 3 Nächste

Druckansicht

Vorheriges Thema | Nächstes Thema

Autor

Nachricht

GandalfDerGraue Offline

Mithrandir

Beiträge: 7326
Alter: 38

Betreff des Beitrags: Viren- und Trojanerbefall Sammelthread

Verfasst: Do Aug 17, 2006 19:08

Aufgrund der zahlreichen Viren- und Trojanerprobleme erstelle ich nun einen Sammelthread, der immer oben gepinnt ist und Antworten dazu geben soll.
Ich halte das für übersichtlicher, zumal eventuell schon Leuten vorher geholfen werden kann durch vorherige Tipps in Beiträgen.

Wenn euer Computer definitiv virenverseucht ist oder ihr die Vermutung habt, daß eurer Rechner ungewöhnlich langsam ist oder ihr Verbindungsabbrüche habt, obwohl alle Komponenten (Arbeitsspeicher, Festplatten, Grafik- und anderen Karten) in Ordnung sind sowie die Windowsinstallation stimmt, könnt ihr hier um Hilfe suchen.

1.) Beschreibt euer Problem so genau ihr könnt ("Taskmanager ist plötzlich deaktiviert" und solche Geschichten) und hängt ein HijackThis! Log heran.
Das Programm kann man von dieser Seite herunterladen.
2.) Entpackt es in irgendeinen Ordner, nicht auf den Desktop.
3.) Startet es und klickt auf "Do a system scan and save a log file"
4.) Nach kurzer Zeit öffnet sich eine Datei namens hijackthis.log. Kopiert den gesamten Inhalt der Datei und postet ihn unter eurer Beschreibung.
5.) Wartet die Antwort ab. Falls es etwas dauert: Sowohl Mods wie User sind nicht 24 Stunden/7 Tage die Woche online. Normalerweise wird in diesem Forum aber relativ schnell bei Problemen geholfen. Falls nötig, erhaltet ihr weitere Tipps und Anweisungen.

Bitte beachtet dabei, daß ich selbstverständlich keinerlei Gewähr übernehmen kann für alle Tipps, die nicht von mir kommen. HJT ist in der Verwendung wie oben beschrieben völlig harmlos, nur kann man damit auch Einträge in der jeweiligen Box mit einem Haken versehen und mittels "Fix checked" aus dem Windows-Autostart entfernen. Wenn man nicht weiß, was ein unbekannter Prozess bedeuteten könnte, sollte man den Eintrag auf eigene Faust lieber erstmal nicht entfernen.

Wer meint sich gut auszukennen in der Sache, dessen Namen kann ich auf die Liste packen (merkt man idR relativ schnell), was natürlich auch keine "Verpflichtung" diesem Thread gegenüber bringt.

_________________

Zuletzt geändert von GandalfDerGraue am Do Aug 17, 2006 19:38, insgesamt 1-mal geändert.

Nach oben

Taran

Yoji

Beiträge: 2546
Alter: 29

Betreff des Beitrags:

Verfasst: Do Aug 17, 2006 19:16

Ich denke, dass ich keine Virenprobleme mehr haben dürfte, aber sicher ist sicher. Ich wüßte jetzt sonst nichts, wo ich die Logfile auswerten lassen könnte, wenn jemand diesbezüglich Tipps hat, bittebitte. Bei den meisten Einträgen bin ich mir sicher, dass die nicht schaden.

http://mrbushido15.funpic.de/hijackthis.log
Das ist die Logfile.

_________________

[AMBR]

Nach oben

GandalfDerGraue Offline

Mithrandir

Beiträge: 7326
Alter: 38

Betreff des Beitrags:

Verfasst: Do Aug 17, 2006 19:35

Taran, auf den ersten Blick ist da noch etwas an Ad- und Spyware drin.
Und du hast nicht das Service Pack 2 drauf, was nicht gut ist. Auf jeden Fall brauchst du alle Updates von Windowsupdate.com danach (geht nur mit dem IE).
Und spätestens wenn du neuinstallieren solltest, muß das SP2 rauf. Wenn du es gleich in die Install-CD von XP einbaust, kann gar nichts damit schiefgehen.

Wenn http://www.topfivesearch.de nicht deine gewollte Startseite vom Internet Explorer ist (wirkt schon suspekt), stelle diese im IE mal auf eine andere Homepage um und schau nach, ob sich die Seite wieder ändert nach Neustart des IEs bzw. Computers.

Ansonsten:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: (no name) - {4D618E00-02D1-E65C-BF8F-C29AA34964BC} - (no file)

O3 - Toolbar: (no name) - {A582B1BD-FD48-4FE9-8945-EFF5A0E4DA68} - (no file)
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)

Die können weg, die Toolbars sind ja entfernt und die Einträge verweisen zu nicht mehr vorhandenen Dateien

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.h ... xmk546YYDE

Sieht für mich nach Spyware aus. Kannst du auch entfernen, ist bloß ein 'Rechtsklickmenü'-Eintrag zu einer Suchmaschine. Harmlos, aber dennoch Ballast.

Der Rest scheint in Ordnung, auch wenn ich selber finde, daß AOL ziemlich viel Sinnloses im Autostart hat. Wenn du es nicht schon getan hast, scanne mit dem Antivirenprogramm nochmal deinen Rechner im abgesicherten Modus (alle Dateien überprüfen lassen) und jag nochmal den Spybot hinterher. Anschließend starte neu und poste noch ein neues HJT-Log. Das dauert ein wenig, ja, aber manche Schädlinge laden andere Dateien nach.

Wenn du schon alles überprüft hast, sollte ein normaler Neustart ohne ein komplett neues Scannen reichen. Die aufgeführten Einträge sind aber keineswegs schadhaft, sondern nur Überbleibsel von Spyware.

_________________

Nach oben

Das Unbekannte Offline

Fahrender Händler

Beiträge: 8290
Alter: 31
Wohnort: Wieder zwischen Smalltalk und User-Galerie

Betreff des Beitrags:

Verfasst: Fr Aug 18, 2006 17:19

Auch wenn Surlent vielleicht tollere Wege beschreibt, wie man erfolgreich Viren jagen kann, so hilft sicher auch das hier:

Das Unbekannte (Also ich :D) in einem älteren Thread hat geschrieben:

Wenn du weißt, wie die Dateien heißen, löschst du sie manuell und erstellst für jede Datei eine Textdatei mit gleichem Namen. Du stellst die Textdateien auf schreibgeschützt und nimmst die Dateiendung *.txt weg.

Bsp:
Virus ist blahblah32.dll. Du löschst die Datei und erstellst eine blahblah32.dll.txt. Die nimmst die Dateiendung der Textdatei weg und hast somit eine falsche DLL. Wenn du den Rechner neustartest, kann der Virus die Datei nicht überschreiben und bleibt weg. Vergiss den Schreibschutz nicht.

Wenn Surli so liep wäre, diesen Weg mit in den ersten Post als Hilfe zu editieren. :3

_________________

¤ Die Elster spielt ¤

¤ Hier könnte deine Werbung stehen. ¤

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: Do Aug 24, 2006 15:36

Ich weiß jetzt nichts konkret von irgendwelcher Bedrohung, aber mein PC macht so komische Zicken. Er stürzt z.B. oft im Internet ab und eine Wiedereinwahl ist dann nicht möglich; außerdem kann ich dann mit Winamp nichts abspielen. Nach nem Neustart ist alles wie vorher...
Ach ja: Beim Laden von Windows stürzt er auch öfter mal ab, außerdem auch mal zwischendurch.
Da mein Webspace momentan streikt, kopier ich's einfach mal hier rein:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 16:32:43, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\Programme\VisualTaskTips\VisualTaskTips.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Oleco\_oleco.exe
C:\DOKUME~1\THIESSEN\DESKTOP\SD\FIREFOX\FIREFO~1\FIREFOX.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Thiessen\LOKALE~1\Temp\Rar$EX00.359\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Watch.lnk = ?
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131041215390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131041183734
O17 - HKLM\System\CCS\Services\Tcpip\..\{431B5B0C-A551-47E2-8F6E-399D63B503E6}: NameServer = 213.20.91.3 193.189.244.205
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: awtsq - C:\WINDOWS\
O20 - Winlogon Notify: pmkji - pmkji.dll (file missing)
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Nach oben

Corti - Gottes Werk Offline

Der Don

Beiträge: 7246
Alter: 36
Wohnort: World of Telephonia , Realm of Makenshi

Betreff des Beitrags:

Verfasst: Do Aug 24, 2006 18:07

Ich weiss nicht was dieses Kaspersky-Ding tut aber dir fehlt ne Firewall.
Fall es ein Girensanner ist mach ihn weg, 2 davon vertragen sich ned.

Am besten ziehst du dir erstmal nen neuen Virenscanner( Antivir komplett neu laden ) sowie ne Firewall ( zB Sygate ).
Mit der Firewall blockst du dann alles was nicht explizit ins Netz soll ( zB MSN, Browser ) die anderen 6343456 Exen müssen nicht ins Netz und schon gar nicht lsass.exe und konsorten.
Jene exe ist übrigens ein verbreiteter Hort für Trojaner, Viren etc. allerdings gibts hierfür besondere Tools zur Entfernung, schau mal bei Google, sollteste fündig werden.

_________________
/ Cortis Charguide /all i ever wanted, all i ever needed~

~ Maki ist geil Front ~

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: Do Aug 24, 2006 18:20

Erm, ich hab Kaspersky Anti Hacker, das ist ne Firewall (und gar nicht mal ne schlechte). Zone Alarm ist mir nach ner Weile flöten gegangen und Sygate hatte ich wegen Zone Alarm deinstalliert^^.
AntiVir benutze ich nicht mehr, seitdem es n paar Trojaner nicht gefunden hat (auch nicht nach Update). Kaspersky konnte das und da bin ich umgestiegen..
Btw. kann lsass.exe gar nicht ins Netz, das wird ihr von Kaspersky nämlich verboten..

Nach oben

GandalfDerGraue Offline

Mithrandir

Beiträge: 7326
Alter: 38

Betreff des Beitrags:

Verfasst: Do Aug 31, 2006 14:08

@Hauke: In deinem Log sind Einträge, die auf Viren schließen lassen.
[mono]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com[/mono]

Überbleibsel von prosearching.com. Wenn alles sauber entfernt ist, dürfen diese Einträge nach dem nächsten Neustart nicht mehr auftauchen.

[mono]
O4 - Global Startup: CAPIControl.lnk = ?[/mono]

Kaputte Verknüpfung. Ich gehe ab jetzt davon aus, daß du dich via ISDN einwählst, da CAPI-Treiber (wenn nein, kannst du den Eintrag gleich löschen).
Da du von Abstürzen sprichst, scheint wohl die Software nicht in Ordnung. Ich empfehle zuerst alles Andere hier auszuführen und das Log zu bereinigen. Bricht die Verbindung immer noch ab und es liegt nicht am Anbieter, solltest du deine ISDN-Karte oder/und das Programm CAPIControl neuinstallieren.

[mono]O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
[/mono]

Dialer und eine fehlende Datei. Muss weg, als ISDN-Nutzer bist du gefährdet. Die fehlende Datei in MSN wird bei Neuinstallation ersetzt.

[mono]O20 - Winlogon Notify: awtsq - C:\WINDOWS\
O20 - Winlogon Notify: pmkji - pmkji.dll (file missing)
O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)
[/mono]

Sieht mir ebenso nach Schädlingen aus. Auch hier ein "Fix checked" durchführen

Anschließend aktualisiere deinen Virenscanner, wenn nicht schon getan, lade dir Spybot Search & Destroy herunter und starte im abgesicherten Modus neu. Nun alles komplett überprüfen lassen (jede Datei prüfen lassen, auch wenn's lange dauern sollte). Zum Schluß starte nochmals neu und stelle bitte nochmals eine Log-Datei hier herein. Das kann durchaus auch etwas später erfolgen (wenn möglich aber sofort nach den Tipps hier), da ich im Moment nur wenig Zeit habe.

_________________

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: Sa Sep 02, 2006 21:08

Danke, Surlent, für die detailreiche Analyse! =)
Ich hab gefixt, was du geschrieben hast, hat auch ganz gut geklappt. Das mit den CAPI-Treibern hatte sich erledigt, da ich per Systemwiederherstellung die meisten Treiber ausradiert hatte, darunter auch die CAPI, und sie danach sauber noch mal raufgezogen hab. Internet geht wieder (stürzt zumindest nicht mehr ab, lahm ist's immer noch, aber hey, ISDN...).

Hier der Log:

Code:

Logfile of HijackThis v1.99.1
Scan saved at 22:06:40, on 02.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\Tablet.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Real\RealOne Player\trueplay.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Desktop Sidebar\dsidebar.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Oleco\_oleco.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Thiessen\LOKALE~1\Temp\Rar$EX03.468\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: Shell=
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SIDEBAR] "C:\Programme\Desktop Sidebar\dsidebar.exe"
O4 - HKCU\..\Run: [VisualTaskTips] C:\Programme\VisualTaskTips\VisualTaskTips.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Watch.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131041215390
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131041183734
O17 - HKLM\System\CCS\Services\Tcpip\..\{431B5B0C-A551-47E2-8F6E-399D63B503E6}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: fwnet64 (fwnet) - Unknown owner - C:\WINDOWS\fwnet64.exe (file missing) [color=red]<-- das' n Trojaner, muss ich noch wegmachen..[/color]
O23 - Service: ILT - Unknown owner - C:\WINDOWS\ilt.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)
O23 - Service: Microsoft Windows Explorer Shell Subsystem (Shell32Extender) - Unknown owner - C:\WINDOWS\system32\shell32.exe (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
O23 - Service: change me please (virus) - Unknown owner - C:\WINDOWS\pnpasn32.exe (file missing)
O23 - Service: Windows HWinfo Loader - Unknown owner - C:\WINDOWS\iexplre.exe (file missing)
O23 - Service: Windows Spooler (winspool32) - Unknown owner - C:\WINDOWS\spool.exe (file missing)

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 17:47

Ich hab da mal wieder so'n kleines Trojaner-Problem. Ohne große Worte präsentier ich euch mal folgende zwei Bilder. Das erste geht dem zweiten voraus (ob ihr's glaubt oder nicht).
Bild

und nach nem Klick auf Löschen:
Bild

Na ja, auch Unlocker kann mir nicht helfen, also: Hat Kaspersky das richtig erkannt? Ist das n Trojaner, oder gibt's die Datei "services.exe" so "von Haus aus"?

Nach oben

Makenshi Offline

Official Oldschool

Beiträge: 9034

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 18:17

Nunja , an sich ist die Datei ein Fake.
Die Services.exe verwaltet die verschiedene Systemdienste. Ist also an sich eine recht wichtige Datei von Windows.

Diese befindet sich allerdings original in X:\Windows\System32. Nicht direkt im Windowsverzeichnis. Also erkennt das Antivirenprogramm das schon richtig.

http://www.neuber.com/taskmanager/deuts ... s.exe.html

Der Link könnte dir eventuell weiterhelfen. Zur Lösung jedoch könnte ein Neuaufsetzen des Systems unumgänglich werden.

http://www.trojaner-board.de/12154-anle ... erung.html

Diese Anleitung dürfte dir gut weiterhelfen.

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 20:48

Argh, ich will aber nicht schon wieder neu aufsetzen, nicht nach all den Updates für all die Programme und für Windows. ><
Und einfach entfernen geht auch nicht?

Nach oben

SirParzifal Offline

Citizen Nerd

Beiträge: 1162

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 20:54

Der Name "Trojan.Downloader" hört sich nicht so nett an. Wenn der Schädling seinem Namen alle Ehre macht, dann wirst du vermutlich nicht nur einen Schädling zu tun haben. Und es besteht immer die Gefahr einer erneuten Infizierung, da du nicht wissen kannst was an deinem System modifiziert worden ist.

Nach oben

Hauke T. Offline

Yoji

Beiträge: 2777
Alter: 31

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 21:08

Also, ich hab mich mal bei Sophos schlau gemacht. Demnach fertigt der Trojaner beim ersten Start zwei Kopien von sich an, "services.exe" und irgend ne andere Datei. Diese hab ich aber schon entfernt.
Im Übrigen verhindert meine Firewall, dass der Trojan-Donwloader seinem Namen irgendwie Ehre macht. ^_^
Bisher ist er die einzige Bedrohung auf diesem PC. Und selbst nach Neustart konnte Unlocker das Teil nicht löschen.
Deshalb mal ne Frage (oder mehrere): Ich weiß, dass ich Dateien irgendwie ohne Windows löschen kann. Aber wie? Geht das mit der berühmten DOS-Diskette? Oder mit Knoppix?

Danke euch auf jeden Fall schon mal! =)

EDIT: Alles ok! Ich hab Unlocker das Löschen nach Neustart befohlen und im abgesicherten Modus neugestartet. Jetzt ist der Trojaner scheinbar weg. Ich mach aber auf jeden Fall noch mal n Scan.

Nach oben

Makenshi Offline

Official Oldschool

Beiträge: 9034

Betreff des Beitrags:

Verfasst: So Dez 10, 2006 21:28

Klingt doch nicht schlecht.
Mein Tipp für das nächste Mal :

Mach nach einer Neuinstallation vor dem ersten Kontakt mit dem Internet auf jeden Fall ein Backup von deinem System. So kannst du im Fall der Fälle dein ganzes System von solchen Backupdatenträgern aus wiederherstellen.

Und das ganz ohne riesen Aufstand. Einfach nur Datenträger rein -> von diesen booten und wiederherstellen lassen. Schon hast du wieder ein sauberes System.

Dafür eignen sich Programm wie Nero Backup und Norton Ghost recht gut.

Nach oben

Seite 1 von 3

[ 43 Beiträge ]

Gehe zu Seite 1, 2, 3 Nächste

Foren-Übersicht » Off-Topic » Computer - Hardware und Software

Alle Zeiten sind UTC + 1 Stunde

Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.
Du darfst keine Dateianhänge in diesem Forum erstellen.

Gehe zu: