Trojaner-Board - Mein Rechner ist verseucht, brauche Hilfe ...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein Rechner ist verseucht, brauche Hilfe ... (https://www.trojaner-board.de/19331-rechner-verseucht-brauche-hilfe.html)

Mein Rechner ist verseucht, brauche Hilfe ...

Hallo Jungs, da ich kein wirklichenPlan von Viren habe, aber viel von HighJack gelesen und das man aus den Logfiles einiges rauslesen kann, poste ich mal meine Highjacklog, ich weis das ich Viren drauf habe, hab aber nix zum entfernen. Brauche dringend Hilfe ... :(

Code:

Logfile of HijackThis v1.99.1

Scan saved at 20:59:34, on 27.06.2005

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\RunDll32.exe

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\WINDOWS\system32\ntvdm.exe

C:\T-ONLINE\BSW4\ToDuCAlC.EXE

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\WinRAR\WinRAR.exe

C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm

O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] lsass32.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] lsass32.exe

O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent

O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] lsass32.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O17 - HKLM\System\CCS\Services\Tcpip\..\{BCB26F1B-5A81-4D26-B9E2-82F0C4C23802}: NameServer = 217.237.149.225 217.237.151.97

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\system32\autoexe.exe (file missing)

Mfg chriZ

Du hast u.a. diessen hier auf dem Rechner:

http://www.sophos.com/virusinfo/anal...agobotaae.html

Da es sich hier um einen Backdoor handelt, ist dein System als kompromittiert zu betrachten und sollte schnellstmöglich neuaufgesetzt werden.Am besten nach dieser Anleitung, um ähnliches in Zukunft zu vermeiden:

http://www.trojaner-board.de/showthread.php?t=12154

Warum eine Bereinigung hier nicht hilft:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Und dies ist der Grund dafür:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Ohne regelmäßiges, zeitnahes Einspielen von Updates ist eine Verseuchung fast unvermeidlich.

Gruß :daumenhoc
Yopie

Zitat:

Zitat von Yopie

Und dies ist der Grund dafür:

Ohne regelmäßiges, zeitnahes Einspielen von Updates ist eine Verseuchung fast unvermeidlich.

Gruß :daumenhoc
Yopie

Hab das System ja erst Samstag neu gemacht gehabt daher noch keine Updates, seitdem nix gesaugt oder sonstiges, dennoch waren die Viren drauf ... GEhts nicht auch ohne nochmal neu machen ? :D

Mfg chriZ

Zitat:

Zitat von chriZ85L

Hab das System ja erst Samstag neu gemacht gehabt daher noch keine Updates, seitdem nix gesaugt oder sonstiges, dennoch waren die Viren drauf ... GEhts nicht auch ohne nochmal neu machen ? :D

Du warst online ohne die Windows-Firewall, das reicht. Und nein, es geht nicht anders, wie du ja sicher mittlerweile gelesen hast.

Gruß :daumenhoc
Yopie

Zitat:

Zitat von chriZ85L

Nein, geht nicht.Gründe haben wir dir oben gegeben.
Sicher dein System das nächste mal vor der ersten Internetverbindung vernünftig ab.Wie das geht, ist im Link zum Neuaufsetzen beschrieben.

Edit: Hi, Yopie ;)

Sorry wenn ich nerve, aber ich hätt da noch ne Frage ... :>

Vor der ersten Internetnutzung absichern, hab ich verstanden, aber kann ich durchs blosse Online gehen mir Malware einfangen ? o_O

MfG chriZ

Zitat:

Zitat von chriZ85L

Vor der ersten Internetnutzung absichern, hab ich verstanden, aber kann ich durchs blosse Online gehen mir Malware einfangen ? o_O

Ja, kannst du. Du hast sicher schon mal von Sasser und Blaster gehört? Die Schädlinge auf deinem Rechner nutzen u.a. die gleichen Schwachstellen, sind aber viel gefährlicher.
-> http://sicher-ins-netz.info/wuermer/nw-wuermer.html

Hallo nochmal,

ich wollte mich erstmal bedanken für die recht fixe Hilfe und bin grad dabei meinen Rechner neu aufzusetzen und komplett neu zu machen. Über einen 2ten Rechner lade ich mir grade Programme wie Mozilla und Zone Alarm runter, damit ich mit meinem nicht erst ins Inet muss. Allerdings fehlt mir ein Programm für eine Partition Image, wie es Acronis True Image macht, gibt es da kostenlose Programme zum DL irgendwo ? Werde nachdem mein Rechner neu gemacht wurde nochmal eine Highjack Logfile online stellen, damit ich mir sicher sein kann, das erstmal nix mehr damit ist, bevor ich ein Image erstelle.

MfG chriZ

@chriZ85L
acronis True Image 7.0 war bei einige PC magazine kostenlos als vollversion.
man muss sich nur registrieren lassen.
C't anfang vom Jahr, wenn ich mich nicht täusche.
google doch mal
chaosman

So, habe nun den Rechner neu partitioniert, formatiert, XP drauf, SP 2 drauf, AntiVir, ZoneAlarm, AdAware und Mozilla drauf und habe nun eine neue HighJack Log erstellt, könnt ihr mal schauen, ob nun alles ok ist ?

Code:

Logfile of HijackThis v1.99.1

Scan saved at 13:12:34, on 28.06.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\AVPersonal\AVWUPSRV.EXE

C:\Programme\AVPersonal\AVGUARD.EXE

C:\Programme\AVPersonal\AVGNT.EXE

C:\Programme\HighJackThis\HijackThis.exe
 

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE

O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Um eine System Image zu erstellen, kann ich dazu auch Norton Ghost nehmen ? Mag Norton zwar eigentlich net, aber finde das andere im Inet nicht. Vielen Dank für die Hilfe nochmal.

MfG chriZ

Zitat:

Um eine System Image zu erstellen, kann ich dazu auch Norton Ghost nehmen

Ja, kannst du.

Das Log schaut sauber aus. Jetzt musst du nur noch lernen, dass man sich Sicherheit nicht installieren kann.
Lies dazu mindestens die ersten zwei, besser alle Artikel, die unter "Lesenswerte Lektüre für die Zukunft:" aufgeführt sind.

Zitat:

Zitat von chriZ85L

Allerdings fehlt mir ein Programm für eine Partition Image, wie es Acronis True Image macht, gibt es da kostenlose Programme zum DL irgendwo ?

Auf der Linux-Live-CD "Knoppix" ist Partimage drauf. Als kostenlose Alternative sehr zu empfehlen. Anleitungen findet man dazu im Netz.

Gruß :daumenhoc
Yopie