Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Brauche Eure Hilfe! Seltsamer Eintrag! (https://www.trojaner-board.de/11929-brauche-hilfe-seltsamer-eintrag.html)

melodieman 10.01.2005 22:58
Brauche Eure Hilfe! Seltsamer Eintrag!
 
Hallo Leute!

Seid gestern Abend findet mein Virenscanner andauernd Würmer und anderes gesocks auf meinem PC! Der Virenscanner lief aber sonst auch immer. Angefangen hat alles, das ich mit dem MSN Messi keine Daten mehr verschicken konnte. Heute konnte ich dann überhaupt keine Seiten im Internet erreichen. Nicht mit firefox, nicht i.E., und nicht mit Netscape! Ich habe alle verschieden Virenscanner benutzt ( Antivir, Stinger, bitdefender, Norton Antivirus )! Mittlerweile findet keiner mehr irgendwelche Viren. Surfen kann ich trotzdem nicht. Hab dann mal den Taskmanager aufgerufen. Und siehe da mir fiel ein Eintrag auf. Und zwar ist es dieser hier: sc_watch ! Wenn ich diese Anwendung mittels des Taskmanagers beende, kann ich plötzlich wieder surfen. Aber leider nur sehr langsam. Habe nun mal mit Hijackthis meinen Compi gescannt!

Hier die Logfile!

Logfile of HijackThis v1.99.0
Scan saved at 22:42:42, on 10.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\DeskAd Service\DeskAdServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\DeskAd Service\DeskAdKeep.exe
C:\WINDOWS\System32\smsss.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\AIM95\aim.exe
C:\Programme\ePrompter\ePrompter.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Toralf\Eigene Dateien\Toralf\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Popup Manager - {08E74C67-99A6-45C7-94DA-A397A8FD8082} - C:\Popup Manager\PopupMgr_1.0.2.1P.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKLM\..\Run: [Overnet] D:\Emule\Overnet\eDonkey2000.exe -t
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [eDonkey2000] "D:\eDonkey2000\edonkey2000.exe" -t
O4 - HKLM\..\Run: [pathname] C:\WINDOWS\System32\pathname.exe
O4 - HKLM\..\Run: [MS] win.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\WINDOWS\TEMP\161.tmp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\heecy.exe
O4 - HKLM\..\Run: [start extracting] spoolvs.exe
O4 - HKLM\..\Run: [MS Windows Update] scguard.exe
O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe
O4 - HKLM\..\Run: [.mscsbl] C:\WINDOWS\system\svhost.exe
O4 - HKLM\..\Run: [Haushaltsbuch 3] "C:\Programme\DATA BECKER\Haushaltsbuch 3\hhb3tray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [start extracting] spoolvs.exe
O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe
O4 - HKLM\..\RunServices: [Microsoft Gay] diskdrive.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [Microsofts MediaScope] winmedplay.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DeeEnEs] C:\Dokumente und Einstellungen\Toralf\Eigene Dateien\Toralf\DeeEnEs-2.3.27\DeeEnEs.exe
O4 - HKCU\..\Run: [start extracting] spoolvs.exe
O4 - HKCU\..\Run: [start uploading] smsss.exe
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\RunServices: [alcrmv] C:\windows\alcrmv.com
O4 - HKCU\..\RunServices: [start extracting] spoolvs.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - Startup: ePrompter.lnk = C:\Programme\ePrompter\ePrompter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll

melodieman 10.01.2005 22:58
Und Teil 2

O12 - Plugin for ¸æþ: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for ôå: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {0AFDA372-EB16-11D5-8A33-0002442B5E80} (AsconOnline.Web3D) - http://as-con.de/cab/as_tools.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...tatsClient.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...reShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A049A2AE-8C9B-4F16-A624-3E8B67091923}: NameServer = 217.237.149.161 217.237.151.225
O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Könnt Ihr mir weiterhelfen?
Gruß
melodieman

:heulen:

Shadowdance 10.01.2005 23:18
@ melodieman

das sieht nicht gut aus. Aber führe den eScan auf Deinem Rechner durch:
erstelle einen neuen Ordner "c:\bases". Downloade dann den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Die Namen der Viren möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

melodieman 11.01.2005 07:23
So fertisch mit scannen! Oje Oje Oje er hat 91 Viren gefunden! Was nun?

Hier die Viren:

Backdoor.Win32.Rbot.gen
not-a-virus:AdWare.NewDotNet
not-a-virus:AdWare.Sahat.e
not-a-virus:AdWare.Sahat.f
Worm.Win32.Wilab.b
Trojan.WinREG.LowZones.a
not-a-virus:AdWare.WinAD.n
not-a-virus:AdWare.ToolBar.Quick.b" Virus
not-a-virus:AdWare.Wintol.p
Trojan.Win32.Dialer.fu
not-a-virus:AdWare.FlashTrack.c
not-a-virus:AdWare.Sahat.h
not-a-virus:AdWare.Toolbar.Ucmore
not-a-virus:AdWare.Altnet.b
not-a-virus:AdWare.Wintol.p
not-a-virus:AdWare.WinAD.n
not-a-virus:AdWare.Sahat.f
not-a-virus:AdWare.WinAD.k
Backdoor.Win32.Robobot.a
not-a-virus:AdWare.Toolbar.MyWay.b
not-a-virus:AdWare.ToolBar.Quick.b
not-a-virus:AdWare.NewDotNet
not-a-virus:AdWare.ToolBar.Quick.a
not-a-virus:AdWare.WebSearch.h
not-a-virus:AdWare.WebSearch.b
not-a-virus:AdWare.WebRebates.b
not-a-virus:AdWare.180Solutions
not-a-virus:AdWare.WinAD.m
not-a-virus:AdWare.Gator.3103
not-a-virus:AdWare.EZula.ac
not-a-virus:AdWare.NewDotNet
not-a-virus:AdWare.Sahat.e
Trojan.WinREG.LowZones.a
Worm.Win32.Wilab.b
Trojan.WinREG.LowZones.a
not-a-virus:AdWare.Altnet.a
not-a-virus:AdWare.BrilliantDigital.1007
not-a-virus:AdWare.Broadcap.a
not-a-virus:AdWare.Gator.4104

Einige sind doppelt!
Wie krieg ich die jetzt runter?
melodieman

MountainKing 11.01.2005 10:19
Die Antwort ist einfach: trenne deine Virenschleuder schnellstmöglich vom Netz und mach dein System neu:

http://board.protecus.de/showtopic.p...me=1097944155&

Beschäftige dich danach mit dem Thema Sicherheit, ändere dein Surfverhalten grundlegend. Tips dazu findest du hier:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/
http://www.forum-3dcenter.org/vbulle...d.php?t=163074

melodieman 11.01.2005 22:06
Hilfeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee
 
Hallooooooooooooooo wie kann ich denn mein Sytem neu machen??? Kann den Link nicht öffen! Hab nun schon alles probiert! Wollte die Systemfestplatte formatieren und XP neu draufspielen! Aber wie mache ich das? Hilfeeeeeee!

melodieman

cacatoa 11.01.2005 22:08
Einmisch:
Der Link läuft!

melodieman 11.01.2005 22:10
Ja vielleicht bei Euch! Aber ich kann nur noch einzelne Seiten öffnen! Und diesen Link halt nicht! Also bitte helft mir! Bin am verzweifeln!

cacatoa 11.01.2005 22:18
@ melodieman:
Das steht in dem Link:
Zitat:
In solchen Faellen ist die sauberste Lösung, das System neu aufzusetzen:


1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html )
2.) VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren ( http://www.microsoft.com/germany/ms/...windowsxp.mspx )
3.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
4.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
5.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) und mails nur als Textversion, nicht in html anzeigen lassen
6.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können ( http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html ), besondere Vorsicht ist bei allen erotischen und [warez] -Seiten geboten
7.) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
8.) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern ueberlegen, ob sie wirklich noetig sind oder moegliche Alternativen in betracht ziehen
9.) keine alten Passworte wiederverwenden, sondern alle neu anlegen
10.) Konsequenzen aus dem Vorfall ziehen und ggf. das eigene Sicherheitskonzept entsprechend anpassen


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58