Trojaner-Board - Sytem Alert

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Sytem Alert (https://www.trojaner-board.de/22976-sytem-alert.html)

Hallo Leute,
ich habe seit geraumer Zeit ein problem mit meinem PC! Immer wenn ich im Internet bin, wird eine Tafel aufgezeigt in Englisch und mir auf einen System-Fehler hingewiesen und ich solle mir, um das problem zu beseitigen, was downloaden. Jedoch ist dies keine seriöse Sache. Nachdem ich nun meinen PC im abgesicherten Modus eine Virenkontrolle unterzogen habe, ist der Fehler noch immer nicht behoben. ich schätze ich habe da einen Trojaner, der aber unerkannt bleibt,trotz Virenschutz. Wer kann mir weiterhelfen, damit dieses nervige problem beseitigt ist oder muss ich komplett mein PC nun neu mit Windows updaten?
Grüße,
Antara

Lad dir HiJackThis, entpacke die Zipdatei mittels Winzip in einen vorher angelegten Ordner und starte dann HijackThis.exe. Da klickste dann auf scan, und save log. Es öffnet sich ne Textdatei, die du hier reinkopierst, aber bitte vorher die Links und persönliche Informationen editieren! (z.b. statt http://www.domain.de -> h**p://www.domain.de, oder statt C:\Programme\Heinrich-Schiller\ -> C:\Programme\******\)
Die Bearbeitung von HijackThis-logs kannst aber auch nochmal hier irgendwo nachlesen!
Mit diesem Logfile können dann die Leute hier die sich damit auskennen rausfinden ob etwas nicht stimmt und wie sich das beheben lässt!

http://80.237.140.193/downloads/hijackthis_199.zip

Habe gerade das gleiche Ding beim PC meiner Eltern entdeckt. Antivir und Ad-Aware finden nix. Sobald eine Internetverbindung besteht verbindet sich der PC über alle möglichen Ports mit verschiedenen IP-Adressen und belegt den Großteil der Bandbreite damit. Bei einigen IPs stand noch 'epmap' und 'microsoft-ds' dahinter (mit netstat abgefragt). Mit Codestuff Starter und Filemonitor habe ich noch nix erkennen können. Scheinbar sind nur Programme aktiv, die auch zum System gehören. Vermute mal, daß da eine Systemdatei ersetzt wurde.
Werde auch mal HIjackthis laufen lassen, wenn ich wieder bei meinen Eltern bin.
Falls jemand so schon eine Idee hat, wäre ich natürlich auch sehr dankbar.

Gruß
M.

Ich habe jetzt mal einen Scan mit HijackThis durchgeführt:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:56:10, on 25.10.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\wincntrl.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\Anvshell.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\VSTASCAN\vsaccess.exe
E:\Software\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [Anvshell] C:\WINNT\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: Reminder.lnk = C:\Programme\Reminder\Reminder.exe
O4 - Startup: UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: MS Dns Service (WinNet) - Unknown owner - C:\WINNT\system32\wincntrl.exe

vorher hatte ich mit Kaspersky zwei Viren entfernt:
trojaner-download.BAT.FJP.AB
backdoor.win32.RBot.aqu

Wenn ich jetzt ins Internet gehe liefert mir netstat folgendes:

Zitat:

C:\netstat -a

Aktive Verbindungen

Proto Lokale Adresse Remoteadresse Status
TCP rr:epmap rr:0 ABHÖREN
TCP rr:microsoft-ds rr:0 ABHÖREN
TCP rr:1025 rr:0 ABHÖREN
TCP rr:1026 rr:0 ABHÖREN
TCP rr:1027 rr:0 ABHÖREN
TCP rr:1029 rr:0 ABHÖREN
TCP rr:1049 rr:0 ABHÖREN
TCP rr:1028 rr:1029 HERGESTELLT
TCP rr:1029 rr:1028 HERGESTELLT
TCP rr:epmap B22c8.b.pppool.de:41160 HERGESTELLT
TCP rr:epmap c213-100-246-232.swipnet.se:1438 HERGESTELLT
TCP rr:1046 web8.webmailer.de:http WARTEND
TCP rr:1047 web8.webmailer.de:http WARTEND
TCP rr:1049 h-68-167-237-35.lsanca54.covad.net:9555 SYN_GESENDET
UDP rr:microsoft-ds *.*
UDP rrisakmp *.*

Außerdem meldet Kaspersky alle 10 Sekunden einen Angriff von Lovesan, das hat aber wohl nicht unbedingt was mit dem Wurm auf dem PC zu tun.
Irgendwelche Ideen?

M.

Hab's inzwischen rausgefunden.
Die Meldungen sind kein Trojaner sondern Spam, der über den Windows Messenger reinkommt.
In der Systemsteuerung den Nachrichtendienst deaktivieren, dann ist Ruhe.

M.