Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Brauche dringend Hilfe! (https://www.trojaner-board.de/16159-brauche-dringend-hilfe.html)

domi0289 02.04.2005 19:02
Brauche dringend Hilfe!
 
Also ich versuche mal, mein Problem zu schildern:

Ich hatte vor kurzem einen Trojaner auf dem PC, den ich nicht wegbekommen habe. Ich habe also formatiert. Nach dem Formatieren habe ich direkt Zone Alarm und AntiVir 6 installiert, damit nicht sofort wieder ein Virus draufkommt. Doch das scheint alles nichts geholfen zu haben. Mir wird zwar vom Virenprogramm kein Virus oder Trojaner angezeigt, aber der Prozess ctfmon.exe versucht immer wieder, auf Dateien von NAV (habe ich auch installiert, weiß dass das nicht unbedingt gut ist, aber habe das T-Online Sicherheitspaket abonniert) zuzugreifen. Außerdem zeigt mir Zone Alarm öfters einmal an, dass es einen Zugriff auf meinen PC verhindert hat. Ich bitte um schnelle Hilfe! Ich würde auch vor erneutem Formatieren nicht zurückschrecken (Aber was müsste ich machen, damit nicht wieder etwas draufkommt?!?)

Hijack Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:04:49, on 02.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccLgView.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
c:\programme\t-online\t-online_software_5\browser\wsupdate.exe
C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{16C3FCA3-82C9-49B5-A025-D6FAE132CAE7}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{16C3FCA3-82C9-49B5-A025-D6FAE132CAE7}: NameServer = 217.237.150.141 217.237.150.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{16C3FCA3-82C9-49B5-A025-D6FAE132CAE7}: NameServer = 217.237.150.141 217.237.150.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

The Saint 02.04.2005 19:11
"ctfmon.exe" gehört zum Office!

Abschalten kann man diese folgendermassen:

START-->AUSFÜHREN MSCONFIG eingeben.(Return drücken)
Dann auf den Kartenreiter SYSTEMSTART. Deaktiviere das Häkchen vor dem Eintrag "ctfmon.exe" und klicke auf OK. Dann PC neustarten.

cronos 02.04.2005 19:16
Dein Log sieht sauber aus.
Allerdings solltest du schnellstens Service Pack 2 draufspielen.
danach www.windowsupdate.com besuchen.
Die Ctfmon ist nicht gefährlich-gehört zu Office.
Zu den gemeldeten Angriffen.Das ist normal und kommt dauernd vor.Deine Firewall meldet alles auch wenns noch so unwichtig ist.Besser als eine Firewall wäre es alle unnötigen Dienst abzuschalten.
Siehe:

http://www.ntsvcfg.de/
alternativ
www.dingens.org

domi0289 02.04.2005 19:17
Wenn ich ctfmon.exe deaktiviere, kann ich aber doch gar nicht sicher sein, dass mir kein Schaden entsteht, oder? Ein Hijack Logfile habe ich übrigens bereits gepostet. Habe auch einen vollständigen Virenscan durchgeführt, hat aber nichts gefunden. Und wenn ich ctfmon.exe deaktiviere, macht einfach ein anderer Prozess dasselbe.

The Saint 02.04.2005 19:17
Ich würde dir empfehlen dein System upzudaten!!
Internet Explorer veraltet und kein Servicepack vorhanden.
http://v5.windowsupdate.microsoft.co...ult.aspx?ln=de

Dein Betriebssystem ist sonst offen wie ein Scheunentor!!

domi0289 02.04.2005 19:19
Zitat:
Zitat von cronos
Dein Log sieht sauber aus.
Allerdings solltest du schnellstens Service Pack 2 draufspielen.
danach www.windowsupdate.com besuchen.
Die Ctfmon ist nicht gefährlich-gehört zu Office.
Zu den gemeldeten Angriffen.Das ist normal und kommt dauernd vor.Deine Firewall meldet alles auch wenns noch so unwichtig ist.Besser als eine Firewall wäre es alle unnötigen Dienst abzuschalten.
Siehe:

http://www.ntsvcfg.de/
alternativ
www.dingens.org
Kann mir das quasi einfach egal sein wenn ctfmon.exe versucht, auf Dateien auf meinem PC zuzugreifen? Ich hatte das Problem schon einmal, da hat dann NAV irgendwann nicht mehr funktioniert...

cronos 02.04.2005 19:25
Wichtiger ist es dein System upzudaten.
Siehe meine Links.
Die Ctfmon exe deaktivierst du einfach so:

http://www.wintotal.de/Tipps/Eintrag...ID=676&URBID=5.

The Saint 02.04.2005 19:25
Zitat:
Kann mir das quasi einfach egal sein wenn ctfmon.exe versucht, auf Dateien auf meinem PC zuzugreifen? Ich hatte das Problem schon einmal, da hat dann NAV irgendwann nicht mehr funktioniert...
Das ist eher unwichtiger!

Wichtiger wäre ein WindowsXP update wie dir schon empfohlen!!

domi0289 02.04.2005 19:29
Ich werd mal schauen, ob's was bringt. Wenn nicht meld ich mcih halt noch mal :) . Aber im voraus schon mal danke für eure Hilfe...

domi0289 03.04.2005 09:29
Nachdem ich ctfmon.exe deaktiviert habe, versucht jetz allerdings wie angekündigt ein anderer Prozess namens C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Was kann ich jetzt da unternehmen? Und was, wenn danach wieder ein anderer Prozess versucht, auf NAV zuzugreifen?

Außerdem habe ich zwischendrin immer mal wieder eine CPU-Auslastung von 100% und der PC fährt nicht mehr standesgemäß runter.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58