Hallo erst einmal zusammen,

neu und schon ein dummes Provb
em.

Vor wenigen Wochen wurde mein System von einem Hijacker befallen, den ich auch gefixed - und mit allen möglichen Virenprogrammen bekämpft habe.

Seit etwa drei Tagen aber verhält sich mein PC etwas komisch.

Unabhängig davon, ob ich jetzt im Internet bin, ein Spiel spiele oder nur auf der Benutzeroberfläche arbeite, hat sich der PC etwas selbstständig gemacht.

Wenn ich eine Anwendung z.B. Systemsteuerung öffne, deaktiviert und aktiviert der Rechner in einem Intervall die Anwendungen.

Im Internet deaktiviert irgendwas meine Seite (welche aber im Vordergrund bleibt). Wenige Sekunden später wird die Seite wieder aktiv, aber meine geschrieben Wörter landen quasi im Nichts. Er aktiviert und deaktiviert also in kurzen Abständen diese Anwendung. Der Mauszeiger verwandelt sich für einen kurzen Moment in eine Sanduhr (extrem kurz). Der Rechner arbeitet also. Aber an was ?

Ein Spiel zu spielen z.B. ist momentan schier unmöglich da dieser Vorgang mich immer wieder zurück zum Desktop wirft und das Programm minimiert. Ich muss es also wieder anklicken um zurück zu kommen um dann nach 10 oder 2 Sekunden wieder auf dem Desktop zu landen.

Ich poste anbei nochmal eine kurze Hijck Loc:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLED\WINLOGON.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)


Woran kann es liegen ? Habe ich eventuell in meinem Wahn irgendwas gelöscht oder verschoben?

Ich bitte dringend um Hilfe, da ich mit dem Rechner als Liveticker arbeiten muss, aber dieses Unterfangen so quasi nicht möglich ist.


Nette Grüße

OK

Hallo,
dein Log-File ist nicht vollständig!

Poste ein neues und überprüfe diese Datei C:\RECYCLED\WINLOGON.EXE bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Zitat:

Zitat von Cidre

Hallo,
dein Log-File ist nicht vollständig!

Poste ein neues und überprüfe diese Datei C:\RECYCLED\WINLOGON.EXE bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis.

Na super:

Ergebnis:

WINLOGON.EXE Infiziert: Trojan.PSW.Delf.eb


Hier die File- mehr ist da wirklich nicht drin

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\RECYCLED\WINLOGON.EXE
C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\scagent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\torsten\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe




Danke vorab für den schnellen Rat. Was ist als nächstes zu tun ?

Nette Grüße

OK

Welche Hijackversion hast du da, ist das aus dem abgesicherten Modus? Poste auf jeden Fall die Kopfzeilen mit, wir brauchen auch dein Betriebssystem und den Patchstand.
Der Trojaner, den du gefunden hast, ist ein Keylogger, das heisst, alle deine Passworte müssen als bekannt angesehen werden.

Besorge dir dieses Programm, update es wie beschrieben und lass es durchlaufen, poste dann die Namen der gefundenen Schädlinge:

http://www.trojaner-board.de/42731-escan-anleitung.html

ersrelle dann ein neues Logfile aus dem normalen Modus.

Zitat:

Zitat von MountainKing

Welche Hijackversion hast du da, ist das aus dem abgesicherten Modus? Poste auf jeden Fall die Kopfzeilen mit, wir brauchen auch dein Betriebssystem und den Patchstand.
Der Trojaner, den du gefunden hast, ist ein Keylogger, das heisst, alle deine Passworte müssen als bekannt angesehen werden.

Besorge dir dieses Programm, update es wie beschrieben und lass es durchlaufen, poste dann die Namen der gefundenen Schädlinge:

http://www.trojaner-board.de/42731-escan-anleitung.html

ersrelle dann ein neues Logfile aus dem normalen Modus.

Hallo...hier die Auswertung aus dem abges. Modus:

Logfile of HijackThis v1.98.2
Scan saved at 02:20:36, on 08.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\torsten\LOKALE~1\Temp\Rar$EX00.375\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - Startup: ASE Scheduler.lnk = C:\Programme\Aluria Software\ASE\ASE Scheduler.exe
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll



Es wurde ein Virus entdeckt:

win32 txutmy.exe , entdeckt vom angebenen Programm in Deinem Link.


Hier noch die 3 Auffälligkeiten

Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVGUARD.EXE in SYSTEM\CurrentControlSet\Services\AntiVirService...
Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry \??\D:\AVGNTDD.SYS in SYSTEM\CurrentControlSet\Services\avgntdd...
Sat Sep 04 19:40:24 2004 => ERROR!!! Invalid Entry D:\AVWUPSRV.EXE in SYSTEM\CurrentControlSet\Services\AVWUpSrv...


Mein beschriebenes Problem, ist nur dann akut, wenn der PC Online ist. Offline ist alles "normal".

Danke vorab...hoffe das kriegen wir irgendwie weg

Ich pushe den Beitrag mal hoch. Hat Jemand eine Idee ?

Dein System ist nicht gepatched, besuche Windowsupdate oder hole dir die Service Pack 2 CD (wahrscheinlich in jedem Fall besser, falls du neu installieren musst, was ich langsam raten würde) update Windows und den IE. Solange du das nicht machst, brauchen wir gar nicht groß herumzubasteln.

Wie ist der Name des entdeckten Virus?
War vielleicht undeutlich ausgedrückt, aber wir brauchen NICHT die Auswertung aus dem abgesicherten, sondern dem normalen Modus. Erstelle einen eigenen Ordner für HijackThis und führe es von da aus.

Das gehört auch schon wieder zu einem Trojaner:

O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

Hallo zusammen
ich bin neu hier und habe leider nich soviel ahnung von
pc´s
also ich habe genau das selbe problem. Hab mir das update geholt. alles ist bei mir gleich wie bei meinem Vorgänger. wie geht es jetzt weiter???

Ich glaube nicht, dass dein System und deine Programme exakt denen von OKennahan entsprechen. Wir brauchen mehr Informationen, poste also bitte ein Hijackthis-Log.

ich hoffe du meinst das denn ich hab echt keine ahnung von son kram

File C:\DOKUME~1\Steffi\ANWEND~1\sowa.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\httpfilter.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\httpfilter2.dll infected by "Trojan.Win32.Scagent.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\scagent.exe infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\windrv.dll infected by "Trojan.Win32.Scagent.f" Virus. Action Taken: No Action Taken.

hier mal error meldungen

ERROR!!! Invalid Entry wccapp = c:\dokumente und einstellungen\steffi\desktop\winln.exe. Removing it.

ERROR!!! Invalid Entry \??\C:\DOKUME~1\Steffi\LOKALE~1\Temp\cportclm.sys in SYSTEM\CurrentControlSet\Services\cportclm...

habe bei mir bitdefender drauf. das einzige was ich nicht löschrn kann ist diese datei

C:\WINDOWS\httpfilter.dll

Nein, ich meine ein Log dieses Programms:

http://www.trojaner-board.de/51130-a...ijackthis.html

Bitte den kompletten Text hierher kopieren.

Logfile of HijackThis v1.98.2
Scan saved at 20:49:52, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Recycler\WINLOGON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\scagent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Steffi\Desktop\mwav.exe
C:\DOKUME~1\Steffi\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Steffi\LOKALE~1\Temp\kavss.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rces] C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098796713588
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

Hallo Darkrider,

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE!: www.windowsupdate.com

===@===

überprüfe mit dem online-scan von Kaspersky:

C:\Dokumente und Einstellungen\Steffi\Anwendungsdaten\sowa.exe
C:\WINDOWS\system32\scagent.exe


Teile uns das Ergebnis der Überprüfung mit. Sende die infizierten Dateien, passwortgeschützt an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===@===

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O4 - HKLM\..\Run: [SearchUpgrader] C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/content...er/imloader.cab
O18 - Filter: text/html - {EE7A946E-61FA-4979-87B8-A6C462E6FA62} - C:\WINDOWS\httpfilter.dll

wenn du diese Einträge nicht brauchst/kennst, bitte fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ogame.de/
R3 - URLSearchHook: IncrediFindBHO Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL
O2 - BHO: NavErrRedir Class - {0199DF25-9820-4bd5-9FEE-5A765AB4371E} - C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL

boote in den normalen Modus.

beende
WINLOGON.EXE
SearchUpgrader.exe

lösche
C:\Recycler\WINLOGON.EXE
C:\Programme\Common files\SearchUpgrader\

Aktiviere die Systemwiederherstellung,

===@===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit jedesmal, bevor Du online gehst, den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===@===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

===@===

Du hattest Dir den eScan bereits runter geladen, aber hier: C:\Dokumente und Einstellungen\Steffi\Desktop\mwav.exe (C:\DOKUME~1\Steffi\LOKALE~1\Temp\kavss.exe), nützt er Dir nichts. Du kannst ihn an diesem Ort nichtmal updaten. Also nochmal:

lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD