|
unbekannte Einträge - Bitte um Hilfe Da ich neu hier bin, möchte ich erstmal ein "Hallo" loswerden. Ich hoffe und versuche nach bestem Wissen und Gewissen alles richtig zu machen, sollte ich es nicht tun, weist mich bitte auf Fehler hin. Ich werde versuchen sie in Zukunft zu vermeiden. edit: f***, da ich keine cookies annehme, kam es zu einem chaos beim veröffentlichen des posts, daher habe ich ihn versehentlich doppelt eingestellt... So viel zum keine Fehler machen. Hier das Problem: Mein HiJack gibt mir in der Auswertung zwei unbekannte Einträge aus. Erstellt habe ich das Log, nachdem mir heute diverse Programme abgestürzt sind (P-Shop, Dreamweaver, Skype). In letzter Zeit läuft mein System auch verdächtig langsam. Zuerst habe ich auf defekten Ram getippt, doch da es bisher nicht zu Systemcrashes kam und MemTest keine Fehler ausspuckte, mache ich mir doch Sorgen und hoffe, dass mir jemand weiterhelfen kann. Virenscans mit Antivir haben nichts ergeben, AdAware und Spybot finden nur Cookies ala Statcounter Spyware Doctor hat einen kritischen Eintrag gefunden: Spyware.Known_Bad_Sites (im Browser) System: Win XP Pro SP2 IE nutze ich nicht aktiv, sondern nur zum testen von websites, daher der 6er... sonst: 3,2Ghz, 1GB RAM, X850XT Ich habe Admin-Rechte auf meinem System. Das Logfile: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:43:07, on 06.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Java\jre1.6.0_02\bin\jusched.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\alg.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\...\Desktop\HiJackThis202.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdoctor.exe C:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe C:\Programme\Lavasoft\Ad-Aware 2007\LSUpdateManager.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" O4 - HKLM\..\Run: [EPSON Stylus C48 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I091.EXE /P23 "EPSON Stylus C48 Series" /O6 "USB002" /M "Stylus C48" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Apache2 - Unknown owner - C:\Programme\xampp\apache\bin\apache.exe (file missing) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, Willkommen in der Cherry-Welt der Möglichkeiten! - C:\Programme\Cherry\CDI\cdi.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe -- End of file - 8541 bytes Ich hoffe, dass das an Infos reicht. :dummguck: Gruß und Dank im voraus vom fogle |
Hi, Zitat:
Doktor das sagt, müssen wir wohl tiefer graben: * MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) * F-Secure Blacklight – Rootkitscanner: Scanne dein System mit F-Secure Blacklight Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) mfg Cleriker |
Zuerst danke für die Anleitung Cleriker. Ich denke der Scan hat einiges zu Tage gefördert. Was sagt einem das: Man versucht Text zu markieren, doch der Markierungspunkt hängt und lässt sich nicht ändern, bis man die Verbindung zum Netz, per Strippe ziehen, trennt? Oder die Maus springt an den linken Bildschirmrand? Ich denke mal, dass ich ein ernsthafteres Problem habe und bin glücklich schon diverse backups gezogen zu haben... Ich denke mal, dass die Meldungen im Tight-VNC-Setup was damit zu tun haben könnten.:( edit: Ich kann meinen Ad-Aware nicht mehr updaten, da er die ganze zeit einen neuen Update-Manager installieren will, das aber nicht hinkriegt. Im Endeffekt hängt er in einem Deadlock und kommt nicht weiter, weil er zwischen Manager und Definitionen (ohne Downloads zu starten) hin- und herspringt... fsbl-log: 09/07/07 05:17:46 [Info]: BlackLight Engine 1.0.64 initialized 09/07/07 05:17:46 [Info]: OS: 5.1 build 2600 (Service Pack 2) 09/07/07 05:17:47 [Note]: 7019 4 09/07/07 05:17:47 [Note]: 7005 0 09/07/07 05:18:12 [Note]: 7006 0 09/07/07 05:18:12 [Note]: 7011 436 09/07/07 05:18:12 [Note]: 7026 0 09/07/07 05:18:12 [Note]: 7026 0 09/07/07 05:18:14 [Note]: FSRAW library version 1.7.1022 eScan-Log: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NORMAL eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 9/7/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\System Volume Information\_restore{9FE3548C-739F-4568-BF4F-24234911BB84}\RP141\A0031051.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Desktop\***\tightvnc-1.3.9-setup.exe//data0006 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.1370. Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Desktop\***\tightvnc-1.3.9-setup.exe//data0006 markiert als not-a-virus:RemoteAdmin.Win32.WinVNC.1370. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\DOKUME~1\***\LOKALE~1\Temp\GLB2.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\NeroDemo11596\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\NeroDemo11596\Cab\4e08c89a.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\NeroDemo11596\Cab\Tmp\SetupNeroMobileUnsignedA8C35C16.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\DOKUME~1\***\LOKALE~1\TEMPOR~1\Content.IE5\UBYNULC7\launcher[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\GLB2.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NeroDemo11596\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NeroDemo11596\Cab\4e08c89a.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\NeroDemo11596\Cab\Tmp\SetupNeroMobileUnsignedA8C35C16.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UBYNULC7\launcher[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINDOWS\System32\drivers\etc\hosts : ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 147994 Gefundene Viren: 3 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 217 Dauer des Scans bisher: 02:03:16 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 5:26:45,29 Batchende: 5:27:14,35 Bitte sagt mir, dass es nur halb so wild ist und sowohl meine Maus, als auch der RAM einfach nur einen weg haben. :nixda: |
Morgeen :) die Frage, ob es schlimm ist, muss ich an dich zurück werfen. Zitat:
Remote-Tool VNC zusammen hängen. Jetzt stellt sich mir die Frage.. - Hast du das Programm selber installiert, um deinen PC steuern lassen zu können -> Schau weiter nach unten - Oderwurde es durch einen dritten installiert, der nun kompletten Zugriff auf dich hat? -> (System neu aufsetzen->siehe sig) Wenn du mir diesen Zahn ziehen kannst, haben wir da nur noch folgendes Problem: Zitat:
Systemwiderherstellung. Trojan.LowZones.Y lädt Malware aus dem Internet nach. * Schädlinge in der Systemwiederherstellung - Deaktiviere die Systemwiederherstellung und wechsel in den abgesichteren Modus -> Anleitung - Überprüfe mit deinem Antivirscanner die localen Festplatten - Neustart + neues Hijackthis + escan posten * CCleaner - Lade dir den CCleaner runter - Setze bei der Ausführung die Häkchen bei Cookies + Temporäre Dateien mfg Cleriker |
Danke für deine Hilfe. Da ich den Tight VNC vor geraumer Zeit inklusive Installer gelöscht habe (min. 2 Monate her), hielt ich es für das beste mein System neu aufzusetzen. Kopfschmerzen dabei bereitet mir die Tatsache, dass ich nach der ersten Neuinstallation, beim booten zwei Systeme zur Auswahl hatte. Also wurde trotz Neupartitionierung und Voll-Formatierung der MBR nicht mitformatiert. Woran kann das liegen? Nach dem zweiten Neuaufsetzen des Systems scheint nun alles wieder seinen geregelten Gang zu gehen. fogle |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:23 Uhr. |
Copyright ©2000-2024, Trojaner-Board