Hallo zusammen,

Ich habe mir (einen?) ziemlich hartnäckigen Hijacker eingefangen, den ich nicht wider los werde. Habe es mit Ad-Aware und HijachThis versucht und auch schon per Hand (schwitz) einen Eintrag aus meiner Registry enfernt. Mit dem Ergebnis, dass der Mist jedesmal wieder auftaucht. Interessanterweise sind es auffällig oft schwedische Seiten, zu denen er mich schickt und On-line Casinos.
Habe schon versucht, im abgesicherten Modus zu putzen. Bin mir aber nicht sicher, alles zu erwischen. Anbei mein HijackThis-Logfile. Bin für jede Hilfe sehr dankbar.

Beste Grüße

Hagen

Logfile of HijackThis v1.97.7
Scan saved at 15:02:25, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\AOL 7.0\aoltray.exe
C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\VBI_SE~1.EXE
C:\Programme\AOL 7.0\waol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\Dokumente und Einstellungen\Hagen\Eigene Dateien\My eBooks\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.146

Verwende die aktuelle Version 1.98.2 und poste ein neues Log.

Ok, hier das Log-File der Version 1.98.2
Logfile of HijackThis v1.98.2
Scan saved at 16:36:29, on 05.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AOL 7.0\aoltray.exe
C:\PROGRA~1\Pinnacle\SHARED~1\Filter\Server.exe
C:\Programme\AOL 7.0\waol.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\odcfg.exe
C:\WINDOWS\System32\getdns.exe
C:\WINDOWS\System32\msiexec.exe
C:\Dokumente und Einstellungen\Kinder\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wasistwas.de/
O2 - BHO: SuperAdBlockerBHO Class - {00000000-6C30-11D8-9363-000AE6309654} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\SABBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Super Ad Blocker Toolbar - {B4B3001E-0F56-4E51-8250-BDE11547EC55} - C:\Programme\SuperAdBlocker.com\Super Ad Blocker\sabtb.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: WebServer.lnk = C:\Programme\Pinnacle\Studio PCTV\TeleText\WebServer.exe
O4 - Global Startup: AOL 7.0 Tray-Symbol.lnk = C:\Programme\AOL 7.0\aoltray.exe
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CF4F231-FE0B-466A-BBA2-DFCB58DFEBC8}: NameServer = 205.188.146.145
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)


Gruß

Hagen

Bei Dir ist der schon lange (2002) erkannte Easyserv-Backdoortroj. aktiv. Er erlaubt es einem Fremden, die komplette Steurerung über Deinen Rechner zu übernehmen.
Dies bedingt, daß Du Dein System neu aufsetzt.. Bitte die Tipps von cidre genau beachten. Du bist nicht mehr Herr im Haus!
Beachte dies: Datensicherung und auch das hier
einen besseren Rat kann ich Dir hier nicht geben, leider.
Mit ein Grund wird wohl sein, daß dein System nicht gepatcht ist...
cacatoa

Ok, das klingt nicht gut. Auch wenn Ihr es vielleicht für blöd haltet, aber jetzt doch noch mal eine ganz dumme FRage: Wie groß ist die realistische Bedrohung? Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen? Sendet mein Rechner jetzt den gesamten Inhalt meiner Daten irgendwo hin?
Haltet mich bitte nicht für blöd, aber es ist das erste Mal, dass mir sowas passiert und ich will a) die Sache sicher und möglichst ohne schwerwiegende Folgen aus der Welt schaffen und b) nicht durch Panik und unüberlegtes handeln zusätzlichen (vermeidbaren) Schaden anrichten.

Gruß

Hagen

@Hagen2
Kann mein Rechner zum Beispiel nur nach bloßem Anschalten ohne mich ins Netz gehen?
hier ist dein antwort.
When it is activated, Backdoor.Easyserv does the following:

It listens on port 5558 for a connection. Once connected, the attacker can direct Backdoor.Easyserv to activate an HTTP server that will show the directory structure of any local hard disk.

The HTTP server will allow the attacker to connect to the host machine using an Internet browser. Through the browser, the attacker can browse the host computer and download files from it.

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
wie cacatoa schon postete, system marke scheunentor...

chaosman