Trojaner-Board - Hier is mit Sicherheit der Wurm drin ;)

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hier is mit Sicherheit der Wurm drin ;) (https://www.trojaner-board.de/22693-is-sicherheit-wurm-drin.html)

Hier is mit Sicherheit der Wurm drin ;)

Hi, zusammen.

Ich hoffe, ihr könnt mir helfen.
Ich habe mir mit Sicherheit etwas eingefangen. Es erscheint laufend ein Fenster, dass mich auf 48 kritische Windows-Fehler hinweist (ohne die zu nennen) und mich an eine Internetadresse verweist, um sie zu beheben (keine Microsoft-Addi).

Hier is die Logfile von Hijackthis: (hier bin ich als Admin eingeloggt, was nicht rund um die Uhr der Fall ist )

Logfile of HijackThis v1.99.1
Scan saved at 09:01:57, on 12.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\WINNT\system32\taskmgr.exe
C:\Documents and Settings\Administrator\Desktop\HijackThis.exe

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windows...b?1129031031898
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ich hab auch mal einen Screenshot des Fensters angehängt...

@Apollyon

Zitat:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Bitte IE bis auf IE6 SP1 updaten.
Windows-Nachrichtendienst abschalten (www.dingens.org)
Weiter hier lesen: http://www.ntsvcfg.de/

Servus, Apollyon!
Also das Logfile erscheint sehr unvollständig!
In welchem Modus wurde es erstellt (tatsächlich im normalen Admin-Modus)?
Oder hast Du es editiert? Es ist für mich nicht aussagekräftig!
Lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist ebenfalls beschrieben). Halte die Anweisungen genau ein, da sonst die Auswertung nicht funktioniert!
Bis dann, stupormundi
~~edit: schon wieder 2ter~~/edit~~

O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [internat.exe] internat.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
sehen nicht gut aus aber guck vor dem löschen was die anderen sagen.

@Saladien
Die von dir erwähnten Einträge sind absolut normal. Nächstes mal bitte alle, deiner Meinung nach, verdächtigen Sachen, erst selbst mit dem Google oder anderen Online-Nachschlagewerken überprüfen.

Okay... ich hab den Messanger-Ausschalter verwendet, aber damit das Routing lahm gelegt... deswegen isser wieder raus.

Der Log war tatsächlich der vom Admin. Ich habe der Sicherheitshalber mal einen neuen gemacht:
Logfile of HijackThis v1.99.1
Scan saved at 09:17:41, on 13.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
C:\Frei\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1129031031898
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Ich habe auch einen im abgesicherten Modus erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 09:12:17, on 13.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\Frei\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINNT\system32\iernonce.dll,RunOnceExProcess
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Program Files\Zone Labs\ZoneAlarm\zapro.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1129031031898
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Desweiteren habe ich alles upgedatet ;), sogar den IE, obwohl ich ihn nicht benutze (ausser halt für Updates).

Ich habe noch ein weiteres Bildchen angehängt, von einem anderen Fenster, dass sich so öffnet.

Und im übrigen: Vieeelen Dank für die schnelle Antwort und die motivierte Hilfe !!!! ;)

Servus wieder, Apollyon!

Was ist damit

Zitat:

Lass´ mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Haui45´s "find.bat" (ist ebenfalls beschrieben). Halte die Anweisungen genau ein, da sonst die Auswertung nicht funktioniert!

Bis dann, stupormundi

Hallo Apollyon,

sofern Du den Messenger bzw. Nachrichtendienst nicht deaktiviert hast, kommen diese Meldungen immer wieder:
http://www.microsoft.com/windowsxp/u.../stopspam.mspx

dartus

K, das Teil hat eine Sache gefunden:
Sat Oct 15 07:51:55 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Hab auch scho ma gegooglet und jetzt is die Frage:
Is formatieren wirklich die einzige Lösung ?

Hallo!

Wie kommst du denn auf diese Empfehlung, die wurde meines Wissens nach hier nicht genannt?

Zitat:

System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.

Fixe diese Einträge:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Das habe ich aus nem anderen Thread von diesem Board... ejaal.

Danke Leute... mein Bruder hat ein Tool, dass sich Spybot nennt. Sharewareteil, dass Alexa erkannt hat. Ich hätte es gern selbst gemacht, aber leider war mein I-net, dank totem Router vorrübergehend wech *g*

Trotzdem auf jeden Fall danke für eure Holfe, Leute !