|
bitte mal checken hie bin neu und naja hab einige probs. guckt euch einfach ma mein log file an: Logfile of HijackThis v1.99.1 Scan saved at 01:52:25, on 12.01.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\Analog Devices\SoundMAX\Smax4.exe C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\WINDOWS\System32\winupd.exe C:\Programme\Logitech\Profiler\lwemon.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe D:\Programme\hijackthis\HijackThis.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\taskmgr.exe C:\WINDOWS\System32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.findthewebsiteyouneed.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://searchbar.findthewebsiteyouneed.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing) O1 - Hosts: ip.icehosting.com L2authd.lineage2.com O1 - Hosts: ip.icehosting.com L2testauthd.lineage2.com O1 - Hosts: ip.icehosting.com nprotect.lineage2.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll (file missing) O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [Microsoft Outlook Express Protocol] winupd.exe O4 - HKLM\..\RunServices: [Microsoft Outlook Express Protocol] winupd.exe O4 - HKCU\..\Run: [Start WingMan Profiler] "C:\Programme\Logitech\Profiler\lwemon.exe" /noui O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - h**p://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133662061030 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133781514514 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe |
Deine Probleme beginnen damit, dass du dein System nicht aktuell hälst.Mittlerweile ist Service Pack 2 akuell. Gehe zunächst wie folgt vor: Beende folgenden Prozess im Taskmanager: winupd.exe Lasse dann diese Datei: C:\WINDOWS\System32\winupd.exe hier: http://virusscan.jotti.org/de/ überprüfen. Teile uns das Ergebnis mit. |
hab die datei beendet, aber mein antivirus (mcafee enterpris 8.01 oder so änlich ) hat die datei gefunden und verschoben, und jez hab ich ka wo die drinn ist -.- so gefunden... und das sagt die seite: Auslastung: 0% 100% Datei: winupd.exe Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH, MEWBUNDLE, MEW AntiVir Packer/MEW packer gefunden ArcaVir Keine Viren gefunden Avast Win32:SdBot-gen gefunden AVG Antivirus Keine Viren gefunden BitDefender Backdoor.SDBot.483BDDD2 gefunden ClamAV Worm.Mytob.GH gefunden Dr.Web Win32.HLLW.MyBot.based gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/RBot.ZI-bdr gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden NOD32 probably a variant of Win32/Rbot gefunden (mögliche Variante) Norman Virus Control MyDoom.AQ@mm gefunden UNA Keine Viren gefunden VBA32 Trojan-Spy.Banker.24 gefunden (mögliche Variante) |
hab jez auch noch mal Ad-Aware durch laufen lassen und da hat der auch noch sachen gefunden ArchiveData(auto-quarantine- 2006-01-12 15-35-33.bckp) Referencefile : SE1R86 11.01.2006 ====================================================== MRU LIST »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=MRU FileReference : C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\office\recent\berricht.LNK obj[1]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\Desktop.ini obj[2]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\infected.log.lnk obj[3]=MRU FileReference : C:\Dokumente und Einstellungen\****\recent\QUARANTINE.lnk obj[4]=MRU FileReference : C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\office\recent\index.dat obj[5]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\direct3d\mostrecentapplication name obj[6]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name obj[7]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\direct3d\mostrecentapplication name obj[8]=MRU RegReference : software\microsoft\direct3d\mostrecentapplication name obj[9]=MRU RegReference : software\microsoft\directdraw\mostrecentapplication name obj[10]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\search assistant\acmru\5603 obj[11]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\search assistant\acmru\5604 obj[12]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\microsoft management console\recent file list obj[13]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\applets\paint\recent file list obj[14]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru\* obj[15]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs\.log obj[16]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\recentdocs\Folder obj[18]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows\currentversion\explorer\runmru obj[19]=MRU RegReference : S-1-5-21-1177238915-1682526488-725345543-1003\software\microsoft\windows media\wmsdk\general computername POSSIBLE BROWSER HIJACK ATTEMPT »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[19]=RegData : S-1-5-21-1177238915-1682526488-725345543-1003\Software\Microsoft\Internet Explorer\Main "Default_Search_URL" obj[20]=RegData : Software\Microsoft\Internet Explorer\Search "SearchAssistant" obj[21]=RegData : Software\Microsoft\Internet Explorer\Main "Search Page" ADWARE.DOLLARREVENUE »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[22]=Regkey : software\microsoft\downloadmanager obj[27]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP94\A0024452.exe obj[34]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0022973.exe CMDSERVICES »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[23]=File : C:\WINDOWS\U2NobGFmbXVldHpl\command.exe obj[24]=File : C:\WINDOWS\U2NobGFmbXVldHpl\asappsrv.dll obj[25]=File : C:\WINDOWS\system32\atmtd.dll._ obj[26]=File : C:\WINDOWS\system32\atmtd.dll obj[36]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP102\A0032109.exe TARGETSAVERS »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[28]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023981.exe obj[29]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023980.dll obj[30]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023979.exe obj[31]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023978.exe obj[32]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023977.exe obj[33]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP89\A0023976.exe obj[35]=File : C:\System Volume Information\_restore{0E0E1208-EE81-4495-8BB3-771135387F12}\RP102\A0032110.exe |
Du hast leider mindestens einen aktiven Backdoor auf deinem Rechner, daher ist dein System als kompromittiert zu betrachten. Als einzige Lsg. kommt hier Neuaufsetzen in Betracht. Dazu eine Anleitung, die auch die Absicherung vor der ersten Internetverbindung erklärt. |
hmm... hätt dann noch eine frage, meine platte ist in 3 partitionen aufgeteilt C:\ ; D:\ ; und irgend wie wurd aus E:\ des K:\ ^^ ach genau und es läuft noch suse 10 auf em rechner wenn ich jez des betriebssystem neu aufsetze, is auf C:/... , sollte ich dann auch die anderen partitionen formatieren oder reicht es wenn ich das auf C:\ mache, wo des betriebsystem ist? |
erbitte um antwort ^^ von jmd. der sich auskennt :) |
Hallo, ist zwar nicht unumstritten, aber es reicht meiner Meinung nach die Formatierung der Systempartition. Ausschnitt aus der Anleitung: Zitat:
Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board