Trojaner-Board - Am verzweifeln :(

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Am verzweifeln :( (https://www.trojaner-board.de/1783-verzweifeln.html)

Guten Abend,

ich habe folgendes Problem seit gestern Abend ich spiele ja nun gerne Counterstrike *g* und surfe gerne und seit gestern Abend beendet sich andauernd Counter Strike wenn ich surfen viel und ich ein paar Seiten öffne stürzen die immer ab. Ich habe mit Adaware 15 Sachen gefunden und gelöscht Coolwebsearch usw. dürfte euch bekannt sein, habe alle Patches und Updates drauf ... habe Zonealarm und Norton Antivirus aberdaran kannst nicht liegen schon geguckt :( ( aufjedenfall ist das Problem einfach folgendermaßen Programme werden einfach beendet oder wenn man surft werden einfach alle Fenster geschlossen ich hoffe ihr könnt mir irgendwie weiterhelfen ich will nicht schon wieder das System neuinstallieren ;( hoffe das liegt nicht am Ram oder so ....

liebe Grüße

Marius

Am besten benutze doch mal das Tool Hijackthis und poste uns eine Logfile hier rein. Es kann durchaus sein das du Malware drauf hast, wobei aber auch nicht defekte Hardware ausgeschlossen werden kann.

Bitte hier das Tool Hijackthis runterladen...

http://www.chip.de/downloads/c_downloads_11353576.html

Dieser Anleitung folgen

http://www.trojaner-board.de/51130-a...ijackthis.html

und Log hier reinsetzen.

hier mein Logfile achja icq und msn 6.1 stürzen auch immer sofort ab :( Edit: hab ein neues Windowsbenutzerprofil angelegt da tritt das Problem garnicht auf oh man :(

Logfile of HijackThis v1.97.7
Scan saved at 10:05:45, on 31.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Ghost~1\LOKALE~1\Temp\ehlh.dat
C:\Dokumente und Einstellungen\Ghost\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {150FA160-130D-451F-B863-B655061432BA} - (no file)
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop

Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP-PSC2300_drivers] C:\WINDOWS\System32\lexplore.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\RunServices: [HP-PSC2300_drivers] C:\WINDOWS\System32\lexplore.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -

http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.4.2_04) -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -

http://v4.windowsupdate.microsoft.co...060.1656018519
O16 - DPF: {CAFEEFAC-0014-0002-0004-ABCDEFFEDCBA} (Java Plug-in 1.4.2_04) -
O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} -
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} -
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} -

[ 31. Mai 2004, 10:31: Beitrag editiert von: Mr Unknow 5000 ]

Prüf diese beiden Dateien:

C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\lexplore.exe

...bitte hier:
http://www.kaspersky.com/de/scanforvirus

Nutze ggf. die Windows Suche zum Auffinden dieser Dateien. Beachte, dass es sich bei der zweiten Datei um lexplore.exe handelt, also beginnend mit einem L.

über eine lexplore.exe findet sich was bei norton...

http://www.symantec.com/avcenter/ven...w.sodabot.html

GUA http://www.click-smilies.de/sammlung...smiley-036.gif
(aus dem buch:"nomen est omen")

Tippe auch auf
O4 - HKLM\..\RunServices: [HP-PSC2300_drivers] C:\WINDOWS\System32\lexplore.exe

Checke das unbedingt mal Online bei
Kaspersky oder Trend Micro House Call.

das ist in ordnung so weit ich sehen kann das sind meine scanner treiber [img]smile.gif[/img] ich hab jetzt wieder in meinem temp ordner vom inet epxlorer diese komische .dat datein ehlh.dat ich hab irgendwo nen leck diese datein kommen immer wieder ....

Hast du nun mal diese beiden Dateien geprüft oder nicht?

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe

Kann mir jemand sagen, um welche Dateien es sich hierbei handelt?

Diese Dateien (siehe auch weiter oben) habe ich ebenfalls in meinen Prozessen laufen. Meine Firewall blockiert diese zwei Prozesse, die ständig z.T. über Netbios versuchen an mehrere IP Adressen Daten zu schicken:

11:23:30 ssms.exe TCP saye.neverland.cx 5454 Aktivität für diese Anwendung blockieren ssms.exe
11:23:30 wkssvr.exe TCP private.akill.org 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
11:23:28 ssms.exe TCP saye.neverland.cx 5454 Aktivität für diese Anwendung blockieren ssms.exe
11:23:28 wkssvr.exe TCP private.akill.org 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
11:23:26 ssms.exe TCP saye.neverland.cx 5454 Aktivität für diese Anwendung blockieren ssms.exe
11:23:26 wkssvr.exe TCP private.akill.org 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
11:23:24 ssms.exe TCP saye.neverland.cx 5454 Aktivität für diese Anwendung blockieren ssms.exe

Die Datei wkssvr erscheint auch ab und zu als csrss.exe

Ich habe NAV laufen (findet aber nichts), vorher hatte ich AntiVir (hat nichts gefunden -> deinstalliert) und Outpost Pro Firewall (super Sache!) Ich weiß keine Lösung mehr!

hi,

</font><blockquote>Zitat:</font><hr />hier mein Logfile achja icq und msn 6.1 stürzen auch immer sofort ab.</font>[/QUOTE]Benutzt liebr einen multimessenger wie Trillian, SIM oder Miranda.

bye

@Mr Unknow 5000

Hast du die Daten wirklich gecheckt?
Nur weil da PSC usw. steht, will das noch
nix heissen. Namen koennen Schall und Rauch sein....

so hab alles gecheckt das ist dieses browser hijack oder wie dat heisst habe nen neues konto angelegt und da war auf einmal auch der selbe mist habs aber nach ner halben Stunde endgültig killen können ! echt schlimm die Regierung müsste solche Leute in Haft stecken dieser Mist verstellt nur die ganze Inet Explorer Konfigurationen etc. ..... ist jetzt alles in Ordnung cu [img]smile.gif[/img] die daten psc und so ist der scanner ^^ ist alles in ordnung. [img]smile.gif[/img]