Ja. Wenn AntiVir - das wirklich gut ist - ein oder zwei Dateien findet, ist dadurch das System noch nicht bereinigt. Es weiß ja niemand, was drin(ge)steckt (hat).

Zitat:

Zitat von Franz1968

Ja. Wenn AntiVir - das wirklich gut ist - ein oder zwei Dateien findet, ist dadurch das System noch nicht bereinigt. Es weiß ja niemand, was drin(ge)steckt (hat).

Hallo Franz, ich zeig euch mal meinen HJH Log!

Ich habe auch nochmal Spybot laufen lassen .Der hat dann wie du schon geschrieben hast,den "rest" gefunden.Ich blicke bei meinem Log nicht ganz durch.So wie ich das sehe habe ich noch "Reste" von alten Dateien drauf ?

Mit dem Regcleaner kann ich die doch auf Automatische Einstellung doch sicherlich noch löschen oder?

Gruß GTR

Hoffe es ist erlaubt hier:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:52:21, on 18.1.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\WINDOWS.0\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\WINDOWS.0\CamService.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\PnkBstrA.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\wscntfy.exe
C:\Dokumente und Einstellungen\ICH PRO\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wieistmeineip.de/start/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {de1f0316-a350-4dbf-940f-13198f71b6cf} - (no file)
O4 - HKLM\..\Run: [TrustKeybd] C:\PROGRA~1\Trust\270KDS~1\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\Trust\270KDS~1\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HerculesCamService] C:\WINDOWS.0\CamService.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (file missing) (HKCU)
O9 - Extra button: eToolz - Die wichtigsten Tools fürs Internet - {E2075F5E-6D6B-437D-A671-7DCC2CD4EBEA} - "C:\Dokumente und Einstellungen\ICH PRO\Desktop\etools\eToolz.exe" (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eToolz - {E2075F5E-6D6B-437D-A671-7DCC2CD4EBEA} - "C:\Dokumente und Einstellungen\ICH PRO\Desktop\etools\eToolz.exe" (file missing) (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {C8D533D0-31AA-4EBA-BD20-D5126963E0AC} (WollnyITService.ActiveChat) - http://www.webchat-solutions.de/chats/ActiveChat.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: 31.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: IPTools - Unknown owner - C:\Dokumente und Einstellungen\ICH PRO\Eigene Dateien\Azureus Downloads\Fertige\20 wlan-netzcracker-tools\wlan-netzcracker-tools\Neuer Ordner\iptools.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS.0\system32\PnkBstrA.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: WEP/WPA-PMK key recovery service (WZCOOK) - Unknown owner - C:\Dokumente und Einstellungen\ICH PRO\Desktop\aircrack-ng-0.9-airpcap\bin\wzcook.exe (file missing)

--
End of file - 7454 bytes

Ich habe mal EScan laufen lassen.Der hat auch einiges gefunden!

Wo darf ich euch den Log posten?

Hi,

mit der find.bat auswerten und dann das Ergebnis hierher kopieren. Oder wenn es zu lang ist, bei File-Upload hochladen und den Downloadlink posten.

Erübrigt sich aber wohl, denn einer der Azureus-Downloads war wohl faul:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [HerculesCamService] C:\WINDOWS.0\CamService.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [icq lite] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS.0\scvhost.exe
O4 - HKLM\..\Run: [] C:\WINDOWS.0\scvhost.exe
         

Das ist kein Windows Update, kein ICQ und auch kein Antivir, sondern ein Backdoorserver. Hier gehts weiter.

Gruß, Karl

Hi, bat was?

Erläutere mir doch bitte mal was genauer was du meinst.

Möchtest du die Log von Escan haben?

gruß

Zunächst eine kleine Korrektur: Ich habe vorhin eine Zeile zuviel aus deinem Log kopiert, die mit "HerculesCamService" hätte oben nicht in die Box gehört.

Die anderen Zeilen sind aber klare Zeichen für iene Infektion durch einen Backdoor, durch den dein Computer von jemand anders fremdgesteuert wird. Da ist Neuinstallation des Systems die einzige sichere Lösung, denn dein Remoteadministrator kann beliebige Änderungen an dem System vorgenommen haben.

Natürlich kannst Du die Ergebnisse des Escans noch präsentieren, sie werden die Diagnose aber nicht mehr verbessern können, höchstens verschlechtern (wenn das dann noch ginge). Gemient war die find.bat wie sie die Escan-Anleitung in diesem Forum zur Auswertung des Logs vorsieht. Ich mache mir aber nichts mehr aus dem Escan, war früher mal sehr gut, unterdessen produziert er gezielt riesige Mengen Fehlalarme (um zum Kauf der Vollversion zu animieren?), das muss man sich nicht geben.

Hallo nochmal , ging flott !
Man lernt ja auch mit der Zeit.System komplett neu aufgespielt.
Guckt mal einer nach ...
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msiexec.exe
C:\WINDOWS\System32\CTFMON.EXE
D:\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1454471165-115176313-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

--
End of file - 1426 bytes



DANKE