Also seid ein paar Tagen beobachte ich das Phenomen, das mein Pc in unregelmässigen Abständen komplett einfrieren tut, wenn ich zB in den Eigenen Dateien was arbeite oder auch an anderen Plätzen. Sieht dann so aus, das die Explorer.exe sich verabschiedet und eventuell noch DrWatson.exe.

Habe dann Ad Aware, Search & Destroy und AntiVir drüber laufen lassen, ohne etwas finden zu können. Nur habe ich eine sehr hohe Aktivität der svchost.exe feststellen können. Etliche Verbindungsversuche usw.

Da ich eben in einem anderen Thread bei euch euch auf etwas komisches unter Punkt 17 in der HijackThis Log eines anderen Users aufmerksam gemacht worden bin, bezüglich, das er schon Mitglied in einem Botnetzwerk sein kann würde ich euch erfahren Uswer doch mal um eine Auswertung meines Logs bitte.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:49:25, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Belkin\Belkin Wireless Network Utility\WLanCfgG.exe
C:\WINDOWS\system32\oodag.exe
E:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [Firefox] C:\WINDOWS\system32\Firefox.exe
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Programme\Agnitum\Outpost Firewall Pro\feedback.exe" /dumps_startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe (User 'Default user')
O8 - Extra context menu item: Download with GetRight Pro - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{425F88D5-6AF9-413C-B86B-8FD849D8B557}: NameServer = 192.168.0.31
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Belkin Wireless USB Network Adapter (Belkin Wireless USB Network Adapter Service) - Unknown owner - C:\Programme\Belkin\Belkin Wireless Network Utility\WLService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PunkBuster (PnkBstrA) - Unknown owner - E:\Medal of Honor Airborne\UnrealEngine3\MOHAGame\pb\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7288 bytes

Mit freundlichem Gruß
BigMaeg

Moin und

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar.
Dann lass diese Datei

C:\WINDOWS\system32\Firefox.exe
(Pfad beachten!)
hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.
Bis geklärt ist um was es sich handelt, bitte keine Bank/Onlinegeschäfte tätigen, nach Möglichkeit nix mit Passworteingaben unternehmen (abgesehen hier).


MFG

Hallo nochdigger und danke für das freundliche willkommen heißen.

Habe deine Anweisungen befolgt und die Datei Firefox bei den 3 Diensten prüfen lassen ohne einen Schädlingsbefall feststellen zu können.

Dateiname : Firefox
Größe : 1543 byte
Typ : data
MD5 : ac93bc359bf1ef7b3097507fe00c1814
SHA1 : 0e8f6e846928610ef97e8c329a918e6f7b730a09

Outpost meldet weiter Aktivität der svchost.exe und ein N/A die im UDP Protokoll ablaufen und von dem N/A Prozess endet meißtens in nem IGMP Block und im IGMC Protokoll sendet und empfängt dieser N/A Prozess ein paar Sachen.

Ist das eigentlich normal, das das Skype manchmal bis zu 40 Verbindungen offen hat ? Ich mein, ich bin doch nur ein einfacher Bäcker, der von sowas keine Ahnung hat.

Edit

Eben nochmal die Spywareerkennung von Outpost laufen lassen und hatte gestern noch, wie hier im Forum beschrieben AntiVir auf aggressiv gestellt und schon gings los:

SPR/Hacktool.128512
SPR/Tool.NetCat.B
TR/Crypt.XPACK.Gen - Trojan

Habe die Objekte erstmal in Qurantäne gesteckt und lasse AntiVir nochmals laufen.

Hallo

lade die Datei
C:\WINDOWS\system32\Firefox.exe
bitte mal hier hoch
Submit your sample
du wirst in wenigen Tagen eine Auswertung erhalten, die uns bitte mitteilst.
Bis das Ergebnis da ist, rate ich dir den Rechner nicht lange im Netz zu lassen.

Zitat:

Eben nochmal die Spywareerkennung von Outpost laufen lassen und hatte gestern noch, wie hier im Forum beschrieben AntiVir auf aggressiv gestellt und schon gings los:

SPR/Hacktool.128512
SPR/Tool.NetCat.B
TR/Crypt.XPACK.Gen - Trojan

Welche Dateien wurden wo angemeckert (Pfad/Dateiname)?

MFG

Also langsam bekomme ich echt schiss.

Zum einen , weil die Datei bei mir nur so "C:\WINDOWS\system32\Firefox" ohne Endung da ist und zum anderen, was AntiVir gefunden hat.

08.08.2008,16:29:23 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\Dokumente und Einstellungen\*\Eigene Dateien\Grafikdemos\4k-ing\4k-ing Dancer.exe

08.08.2008,11:02:01 [WARNUNG] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes!
C:\Dokumente und Einstellungen\*\Eigene Dateien\*\*\router\FRITZ!Box\nc.exe

08.08.2008,11:02:16 [WARNUNG] Enthält Erkennungsmuster des SPR/Tool.NetCat.B-Programmes!
C:\WINDOWS\Temp\AMW625.tmp

08.08.2008,11:05:20 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\WINDOWS\Temp\AMW7F0.tmp

08.08.2008,11:05:44 [WARNUNG] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen!
C:\WINDOWS\Temp\AMW7F2.tmp

08.08.2008,11:07:21 [WARNUNG] Enthält Erkennungsmuster des SPR/Hacktool.128512-Programmes!
C:\WINDOWS\Temp\AMW9D9.tmp

08.08.2008,12:06:25 [WARNUNG] Enthält Erkennungsmuster der Anwendung APPL/PsKill.E!
C:\WINDOWS\system32\pskill.exe

C:\Dokumente und Einstellungen\*\Eigene Dateien\Space.Plasma.3D.Screensaver.v1.5.rar
[0] Archivtyp: RAR
--> Space.Plasma.3D.Screensaver.v1.5\Patch.exe
[FUND] Ist das Trojanische Pferd TR/Drop.Agent.esq

J:\System Volume Information\_restore{B5306B88-DC0F-481B-87FE-C072901F414A}\RP188\A0042020.exe
[0] Archivtyp: RAR SFX (self extracting)
--> CLASS.EXE
[FUND] Ist das Trojanische Pferd TR/Agent.240048

Wenn ich es richtig bedenke hilft eigentlich nur noch folgendes :
Knoppix ins Laufwerk, BackUp fahren, sämtliche Windows Dateien usw mit der Handlöschen, Format c: und d: und Windows neuaufsetzen. Dürfte das mein Problem soweit lösen ?

Mfg
BigMaeg

Moin

Zitat:

Format c: und d: und Windows neuaufsetzen. Dürfte das mein Problem soweit lösen ?

Ja das dürfte es, wenn nur mehr User sooo einsichtig währen....

MFG