Also gestern kam die schreckensmeldung, dass W32/Licum von NAV gefunden wurde.
Nachdem ich gehört habe, dass Kaspersky wirklich helfen soll, hab ich NAV runtergeschmissen und Kaspersky installiert.
Der hat mir gleich mehrere infizierte .exe datein gefunden die ich dann auch gelöscht habe.

Heute Morgen kam dann die Meldung, dass ich von LSASS exploid angegriffen wurde, dass dürfte wohl ein sasser virus sein oder?
Ich bekomme diese Meldung jetzt regelmässig wenn ich ins Internet gehe.

Ich habe gehört, dass man mehrere Ports sperren soll, nur weis ich leider welche weder wie das geht.

Ich hab Kaspersky heute nochmal drüberlaufen lassen und er fand lediglich noch was im papierkorb, (eine .exe datei) was ich auch desinfiziert und anschliessend gelöscht habe.

Ich hab jetzt keine Ahnung was ich machen soll und bitte euch um hilfe.

Hier meine HijackThis Log

Logfile of HijackThis v1.99.1
Scan saved at 14:47:09, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\acer\eRecovery\Monitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Daniel\Desktop\Dr. Pc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.chello.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.chello.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von chello broadband
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://www.chello.at/autoconfig/deat.ins
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = graz.chello.at:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NetLimiter] C:\Programme\NetLimiter\NetLimiter.exe /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.chello.at/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134041487437
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E1ABA0E-FE43-4F62-8521-F12FB8601F3E}: NameServer = 195.34.133.13,195.34.133.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{846C2699-1071-44C3-A29B-8175F4BB2A16}: NameServer = 195.34.233.13,195.34.133.20
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

[edit]
links entfernt
[/edit]

ich hab escan nochmal durchlaufen lassen, und er hat 3 probleme gefunden

Mon Dec 26 160816 2005 = Offending Key found HKCUSoftwaregnu !!!
Mon Dec 26 160819 2005 = Object bearshare SpywareAdware in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt No Action Taken.

Mon Dec 26 160820 2005 = Offending file found CWINDOWSuninstall.ini
Mon Dec 26 160820 2005 = System found infected with whistlesoftware SpywareAdware (uninstall.ini)! Action taken No Action Taken.

Mon Dec 26 160821 2005 = Offending file found CDokumente und EinstellungenDanielEigene Dateienstronghold 2config.dat
Mon Dec 26 160821 2005 = System found infected with startsurfing SpywareAdware (config.dat)! Action taken No Action Taken.


ich konnte diese jedoch nicht mit ad-aware und spybot (im abgesicherten modus) entfernen

> C:\Programme\Internet Explorer\IEXPLORE.EXE

Besser wäre es, einen alternativen Browser (Firefox oder Opera) zu verwenden, da diese sicherer sind.
Ansonsten kann ich Deinem Log nichts Böses entnehmen.
Welche Dateien wurden von Kaspersky wo entdeckt?
Die Sassermeldungen würde ich als harmlos einstufen. Die bei Dir installierte PFW scheint das als Angriff einzustufen, ist jedoch nur gefährlich wenn die LSASS-Lücke bei Dir noch im Windows vorhanden wäre. Isse ja nicht mehr, da Du das SP2 drauf hast.

Wenn Du Port schließen möchstst, dann schau Dir mal diese Seite an. Die Anwendung des Scripts macht eine PFW überflüssig.

Also gefunden wurde von Kaspersky nur noch dieser Licum (so heisst der bei NAV)
aber der ist jetzt anscheinend weg

sonst kamen nur noch diese LSASS Warnungen
und Firefox hab ich eh verwendet, ich hab den nur kurz deinstalliert, weil ich mit der kaspersky firewall noch ein paar einstellungsprobleme hatte
aber mittlerweile is firefox wieder drauf

aber wenn sonst echt nix mehr ist, bin ich echt beruhigt, denn ich hatte diesen Licum schon mal (da hab ich gleich plattgemacht weil ich am desktop pc nichts wichtiges draufhatte)
aber am notebook wärs schon ein bisschen brennzliger

und soll ich diesen Port 139 besser schliessen?
und wie schaut es mit der von eScan gefundenen spyware aus?

danke für die hilfe :aplaus:

Hallo Sawa,
Regseeker wird dir ein paar Relikte entsorgen können.Besseres als den MSN Messenger gibt es auch......Google hilft bei Beiden gerne....
Hast du dir das Script mal angesehen ? Hast du mal nach Port 139 gegoogelt ?
Irrlicht

danke, regseeker ist toll
nur vom msn messenger kann ich mich net soo trennen

und wegen port 139 hab ich gegoogelt, das soll ja einer der gefährlichsten ports sein
sollte ich ihn eurer meinung nach schliessen?