Hi erstmal!
Auf meinem Rechner gehen ganz dubiose Dinge ab. Wenn ich Windows (2k) starte öffnen sich gleich 2 irc clients, die ich ganz bestimmt nicht installiert habe.
Ausserdem finde ich Ordner wie:
C:\WINDOWS\system32\btar (mit einer mproweb.exe)
C:\WINDOWS\PCHEALTH\UploadLB\Binaries (mit einer UploadM.exe)
u.a.
mit denen ich gar nichts anfangen kann.
Ich hab mir gerade mal
HijackThis runtergelanden und rüberlaufen lassen. Das log-file sieht folgendermassen aus:
Zitat:
Logfile of HijackThis v1.97.7
Scan saved at 17:44:02, on 18.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\compu\havana.exe
C:\WINDOWS\System32\pluged.exe
C:\windows\system32\sytm dirves\tega.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\phonostar\ps_agent.exe
C:\WINDOWS\System32\MSN32.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\PMAIL\winpm-32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\vadder\Desktop\HijackThis.exe
C:\WINDOWS\system32\notepad.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soundso.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [Microsoft Update Machine] lewl.exe
O4 - HKLM\..\Run: [xWxindows] C:\WINDOWS\System32\math.exe C:\WINDOWS\System32\pluged.exe
O4 - HKLM\..\Run: [SyServices] C:\WINDOWS\System32\btar\bt4r.exe
O4 - HKLM\..\Run: [rn4d] C:\WINDOWS\System32\dot\kolder.exe C:\WINDOWS\System32\dot\dirote.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSN TaskMonitor32] MSN32.exe
O4 - HKLM\..\Run: [Micrzoft Updateo Machier] netdll.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] syswin32.exe
O4 - HKLM\..\Run: [blah service] Sexy.exe
O4 - HKLM\..\Run: [msnessenger] C:\WINDOWS\System32\compu\havana.exe
O4 - HKLM\..\Run: [Invetes] c:\windows\system32\sytm dirves\tega.exe
O4 - HKLM\..\Run: [Microsoft Update] msgserv.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] lewl.exe
O4 - HKLM\..\RunServices: [MSN TaskMonitor32] MSN32.exe
O4 - HKLM\..\RunServices: [Micrzoft Updateo Machier] netdll.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] syswin32.exe
O4 - HKLM\..\RunServices: [blah service] Sexy.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msgserv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] msgserv.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] lewl.exe
O4 - HKCU\..\Run: [MSN TaskMonitor32] MSN32.exe
O4 - HKCU\..\Run: [Micrzoft Updateo Machier] netdll.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] syswin32.exe
O4 - HKCU\..\Run: [LTM2] C:\WINDOWS\litmus\MSGZRV32.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...170.3362731481
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02762328-66F6-4FB0-98C4-4EC359424DC9}: NameServer = 217.237.151.225 - HKLM\System\CS1\Services\Tcpip\..\{02762328-66F6-4FB0-98C4-4EC359424DC9}: NameServer = 217.237.151.225
|
Es wäre echt super, wenn mir jemand bei der Analyse behilflich sein könnte.
Einige .exe-files (havana.exe, tega.exe, pluged.exe), hab ich gerade (Ordneroptionen vorher angepasst) bei Kaspersky online überprüfen lassen, aber leider ohne Erfolg.
Komisch ist auch, dass der Ordner "C:\WINDOWS\System32\dot\" in dem sich ala
HijackThis die kolder.exe befinden soll nicht existiert. Auch einer erweiterte Windowssuche ergibt nichts.
Wäre nett, wenn mir jemand sagen könnte was da gerade auf meinem Rechner vor sich geht und wie ich das abstellen kann.
Danke euch schonmal
gruss
18.10.2004, 15:16
Baum-Darstellung