Hallo an die Gemeinde,

seit ca. 1 Woche meldet mir mein Norton2004, dass ein Illegaler zugriff versucht wurde und dass der Versuch geblockt wurde. Das kommt mittlerweile fast jedes mal, wenn ich online gehe. Folgende Trojaner werden gelistet:

Zitat:

Trojan Horse Backdoor/SubSeven

Zitat:

Trojan Horse Ultor's

Nebenbei hab ich jetzt beim Spielen sporadische freezes, weiss aber nicht ob das im zusammenhang stehen kann.

Zu meiner Verzweiflung findet weder Norton (aktuelle Signatur), Stinger, noch Ad-Aware absolut garnichts. Nun bin ich zum Glück auf dieses Forum gestossen und mich ein bisschen umgesehn. Hab jetzt wie empfohlen e-scan im Abgesicherten Modus ausgeführt und der fand jetzt folgendes:

Zitat:

Fri Nov 12 18:44:42 2004 => File C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.61-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

Zitat:

Fri Nov 12 18:44:42 2004 => File C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a. No Action Taken.

Zitat:

Fri Nov 12 18:44:55 2004 => File C:\Program Files\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.14. No Action Taken.

Zitat:

Fri Nov 12 19:17:45 2004 => File G:\meineDVD\setupl3c.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Sind das die verursacher dieser Angriffe?

Hier noch meine HijackThis auswertung:

Zitat:

Logfile of HijackThis v1.98.2
Scan saved at 20:43:59, on 12.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Program Files\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iTunes\iTunes.exe
C:\Dokumente und Einstellungen\Armin\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {FFFFFEF0-5B30-21D4-945D-000000000000} - C:\PROGRA~1\STARDO~1\SDIEInt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Program Files\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [seticlient] C:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with Star Downloader - C:\Programme\Star Downloader\sdie.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {6BEFF5A5-B744-41B6-928D-7665D1462FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {6BEFF5A5-B744-41B6-928D-7665D1462FB4} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097865370312
O16 - DPF: {9D7F7865-C035-4177-A322-3A5B12D3A3D2} (Infos Control) - http://www.aliceadsl.it/alice/conten...vex/pcqsys.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{AABEAF87-BEC3-49DD-8732-59417FBE165F}: NameServer = 217.141.106.203 151.99.125.1

Wie soll ich jetzt vorgehen? Bin für jede Hilfe dankbar.

gruß
Armin

@Armin1
dein logfile ist unauffällig, lade dir bitte spybotdownload
update es, und starten,

zu Back Web hier ein paar infos
http://www.liutilities.com/products/...ckweb-8876480/
mIrc ist ein ICQ programm

lade dir von www.clearprog.de clearprog.
starten und Temporary Internet Files, Cookies und Verlauf löschen

poste wenn spybot was findest, bitte hier das ergebnis

chaosman

Au das ging ja schnell :aplaus: !

Spybot hat was gefunden und zwar folgendes:
(hab ein screenie gemacht wenns nichts ausmacht)



clearprog hab ich vorher ausgeführt.

@Armin1
DSO Exploit ist eine bekannte fehler, soll in der zukunft durch Spybot behoben werden.
Alexa kannst du genadenlos löschen.
ansonsten schaut es dann doch gut aus

chaosman

Danke für deine Hilfe chaosman!

Nun leider kommen diese Exploit fehler jedesmal wieder, wenn ich den Spybot neu starte und reparieren lasse. Wenn ich Windows im Abgesichertem Modus starte und Spybot starte, meldet er mir nur mehr noch 3 Expoitfehler und bietet mir an diese zu löschen (was ich aber aus Angst ich würde dann mein System crashen, nicht gemacht habe). Zumal meldet mir Norton immernoch illegale Zugriffe. Um jetzt noch einen draufzusetzen, kam heute vormittag beim Arbeiten der Bluescreen mit dem fehler "Kernel_Stack_Inpage_Error". Oh Gott diese PC's bringen mich noch ins Grab

@ Armin1

1. zu "diese Exploit fehler" schau mal hier

2. zu "meldet mir Norton immernoch illegale Zugriffe" .. Norton Firewall? Dann lies mal hier weiter: Firewall - Rubrik

Lösche diese beiden Dateien:

C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.61-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a.
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a.

folgendermassen: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" viellweicht vorher noch Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

SD

Zitat:

C:\Program Files\Logitech\Desktop Messenger\8876480\6.1.4.61-8876480L\Program\runner.exe tagged as not-a-virus:AdWare.BackWeb.a.
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe tagged as not-a-virus:AdWare.BackWeb.a.

Vorsicht, diese beiden Dateien sind für das automatische Software Update von Logitech verantwortlich.
http://www.liutilities.com/products/...ckweb-8876480/

@ Cidre,

eScan bezeichnet beide Dateien als Adware ... aber sie werden gebraucht, um Software von Logitech zu updaten? Was stimmt nun nicht? Das Ergebnis des eScan oder das automatische Updating von Logitech?

SD

@ SD

Siehe http://www.pestpatrol.com/PestInfo/b/backweb.asp , ich denke aber, das man Logitech durchaus als vertrauenswürdig einstufen kann.
Im Umkehrschluss wäre ansonsten die automatische Update Funktion von Windows bzw. MS Produkte ja auch fraglich.