Mal bitte ein Auge drauf werfen
 

Ein wunderschönen Tag wünsche ich euch allen!

Habe ein kleines Problem. Beim Hochfahren öffnen sich eigenartige Fenster mit HideRun error usw. Dabei werden dann unheimlich viele Daten übertragen. Schätze bei mir hat sich ein Trojaner festgesetzt. Habe Spybot laufen lassen, hat zwar etwas gefunden, aber Problem besteht immernoch. Bin ziemlich verwundert, da ich Mozilla verwende. Dachte, dass wäre ziemlich sicher?!

Hier was zum lesen:
Logfile of HijackThis v1.98.2
Scan saved at 12:05:56, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sysoverload.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\updates.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AIM95\aim.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Wireless LAN\Wireless LAN Monitor Utility\WlanMoni.exe
C:\Dokumente und Einstellungen\Michi\Eigene Dateien\Sicherheit\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.uni-bielefeld.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [blah service] updates.exe
O4 - HKLM\..\Run: [Microsoftvirus] sysoverload.exe
O4 - HKLM\..\Run: [MSNMSGRE] C:\swef.bat
O4 - HKLM\..\RunServices: [blah service] updates.exe
O4 - HKLM\..\RunServices: [Microsoftvirus] sysoverload.exe
O4 - HKLM\..\RunOnce: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\RunOnce: [Microsoftvirus] sysoverload.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless LAN Monitor Utility.lnk = C:\Programme\Wireless LAN\Wireless LAN Monitor Utility\WlanMoni.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/support/chipdetect/OSInfo.cab
O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/support/chipdetec...todetectNT.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{514353AC-A07A-49BA-AEA8-0DCFED5D2B4B}: NameServer = 192.168.121.252,192.168.121.253
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-bielefeld.de

Wäre nett, wenn mir jemand helfen könnte. Da ich ja noch neu bin, wollte ich direkt mal fragen, ob es schlimm ist, dass ich einen neunen Thread dafür geöffnet habe. Habe aber im Forum gesucht und nichts passendes für mich gefunden!

Danke schoma!

Gruß
Michi

Hallo????

Kann mir vielleicht mal jemand helfen? Stehe echt aufm Schlauch! :headbang:

Hallo Michi,

scanne mal Deinen Rechner mit eScan (siehe Signatur) und poste hier die Sachen, die gefunden wurden. Ich bin sicher es wird einiges gefunden...

Hey Lutz! Bin auch aus Bielefeld, besser ich studiere gerade hier! Das ist ja ein Zufall! Werde die Ergebnisse des eScan gleich hier posten!

Habe eScan laufen lassen und was sich da ergeben hat, läßt mich nicht sehr positiv stimmen. Also halt dich mal gut fest. Lasse jetzt aber mal das neuste Windows-Sicherheits-Update installieren. Aber das wird mir jetzt wohl auch nicht mehr helfen. Aber bitte schreibe nichts mit formatieren oder so!!!!

File C:\WINDOWS\System32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\updates.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sysoverload.exe infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\bling.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
File C:\a.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Michi\Anwendungsdaten\Mozilla\Firefox\Profiles\default.b27\Cache\7604C92Dd01 infected by "not-a-virus:AdvWare.Trymedia.a" Virus. Action Taken: No Action Taken.
File C:\gamacash.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\HideRun.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\iexpIerer.exe infected by "TrojanClicker.Win32.VB.de" Virus. Action Taken: No Action Taken.
File C:\mes.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\msfs.exe tagged as not-a-virus:RiskWare.Tool.HideWindows. No Action Taken.
File C:\re11.REG infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP36\A0012234.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027693.exe infected by "not-a-virus:AdvWare.SaveNow.k" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027694.exe infected by "not-a-virus:AdvWare.Toolbar.GigatechSuperBar" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP40\A0027916.exe infected by "not-a-virus:AdvWare.Toolbar.GigatechSuperBar" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP41\A0028061.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032632.exe tagged as not-a-virus:Joke.Win32.Coke. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032635.exe tagged as not-a-virus:Joke.Win32.FreiBier. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP46\A0032636.exe tagged as not-a-virus:Joke.Win32.Buttons.a. No Action Taken.
File C:\System Volume Information\_restore{8465DFF0-3074-4C16-93D7-73C263E8B1A3}\RP52\A0034990.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{8465Traces of "Welchia" found and cleaned !!!



Wenn ich das Upate installiert habe, soll ich das Hijack Ding nochmal vorstellen, oder wird sich da nichts ändern?!

Gruß
Michi

Hallo Michi,

tut mir leid, aber da ist nichts zu machen. Die Familie der Backdoor.Rbot.gen und Wootbot.gen
erlaubt nur eine Möglichkeit: formatieren+neuaufsetzen

Alles andere ist NICHT zu verantworten. Bitte nimm Deinen Computer so schnell wie möglich aus dem Netz, er stellt eine Gefahr für die anderen Teilnehmer im Netz dar. Beachte auch den Link in meiner Signatur unter 'TI Hijacker-Rubrik'.

SD

Hallo Michi,

ich kann mich da den Worten von SD nur anschließen!

Selbst wenn Du so 'egoistisch' wärest und sagtest, ist mir doch egal, ob ich eine Gefahr für die anderen bin, Du selbst bzw. Dein Rechner ist nicht mehr sicher und auch langwierige Lösch- und Wiederherstellungsversuche machen den Rechner nicht wieder sicher!

Hey! Habe jetzt meine Platte formatiert. Bin mir immernoch nicht sicher, ob alles in Ordnung ist?! Könnt ihr nochma einen Blick drauf werfen?! Sieht sehr eigenartig aus!!! eScan kommt geich auch noch!!!!

Logfile of HijackThis v1.98.2
Scan saved at 20:53:31, on 17.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\PROGRA~1\DAP\DAP.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis1982\HijackThis.exe

O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906
O17 - HKLM\System\CCS\Services\Tcpip\..\{66119789-CAF6-4A55-B605-56044ED2E87A}: NameServer = 62.104.191.241 62.104.196.134

Zuallererst solltest du dir alle Updates von Microsoft besorgen.Dein System ist nicht mehr aktuell und bietet so potentielle Angriffsmöglichkeiten.
Findest du im Startmenü---->Windows Update

Soll ich mir auch Updates vom IE laden, wenn ich ihn ger nicht mehr nutze?!

Auf jeden Fall

Das Problem ist halt,das andere Programme oder Kernkomponenten von XP immer noch den Browser nutzen.So stellt der IE immer noch eine potentielle Gefahr da.

Danke, werde es dann mal aktualisieren!!!

Gruß
Michi

Hallo Michi

ich nehme an, diesen Dowload-Manager hast Du bewusst installiert:
Hierzu sagt Sysinfo.org folgendes:
Ansonsten sieht Dein Log bis auf die fehlenden Updates sauber aus. Ein guter Virenscanner kann allerdings nichts schaden... ;)

So sicher ist sicher! Wie schaut es jetzt aus?

Logfile of HijackThis v1.98.2
Scan saved at 19:12:28, on 18.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Mitschi\Eigene Dateien\Mitschi Privat\PROGRAMME\hijackthis1982\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O6 "USB001" /M "Stylus C62"
O4 - HKLM\..\Run: [Epson Registrierungserinnerung] "C:\WINDOWS\temp\NavBrowser.exe" /r /i "C:\WINDOWS\temp\NavLoad.ini"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: CAPIControl.lnk = ?
O4 - Startup: HomeNet Control.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098020081906

Habe mir jetzt alle Updates gezogen.
Noch was anderes. Habe den Download Accelerator wieder gelöscht. Danke an Lutz für den Hinweis!!! Hast Du vielleicht einen besseren Download-Manager? Habe zuvor Leech-Get genutzt, ist dieser besser. Brauche unbedingt einen, weil in der Uni des öfteren mal die Verbindung abbricht.
Zudem nutze ich jetzt Firefox und Thunderbird für meine Mails. das wird wohl besser sein, oder?
Weiter bekomme ich ständig irgendwelche Porno-Mails mit diversen Links. Diese lösche ich immer direkt, aber können durch diese Mails direkt irgendwelche Dinge sich auf meinem Rechner festsetzen?
Werde mich mal hier im Board nach weiteren nutzbaren Programmen umschauen!