Trojaner-Board - "System Alert"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "System Alert" - Meldung (https://www.trojaner-board.de/40581-system-alert-meldung.html)

Überlege Dir einfach was für Dich sinnvoller erscheint, und ob Du Zeit und Musse dazu hast. Von der Wahrscheinlichkeit her kann man sich nie 100% sicher sein. Das Bereinigen kostet auch viel Zeit, und ob es am Ende erfolgreich ist kann man nie wissen. Aber man sollte nicht sofort die Flinte ins Korn werfen, wenn noch ein Plan B zu vorhanden ist. Klappts nicht, setzen wir sofort neu auf.

Hallo mobius07,

Anfrage zu Arbeitsschritt 1:

beim Versuch, die von Dir geposteten items zu "fixen" stellte ich fest, das beim erneuten high-check einige items nicht mehr aufgezeigt - also nicht mehr für "fix checked" anzugeben waren. Es handelt sich dabei um die Einträge "c: ...". Wenn ich aber ein log-file erstelle, sind sie vorhanden. Nur eben nicht auf dem screen vom highjack, mit dem zu arbeiten ist und bei dem ich die Einträge zum "ficen" mit Haken bestätigen kann. Habe ich etwas falsch verstanden/angewendet?

Vielen Dank für eine Antwort.

maysun

Korrektur: sollte im vorherigen post nicht "ficen" heißen, sondern "fixen".

Items? high-check? Ist wohl schon ein paar Tage her zwischen dem ersten Log-File und Deinem neuen. Stell mal ein neues Log rein! Weiss jetzt nicht so genau was Du meinst.

Hallo Mobius07,

was ich meinte, war folgendes: Im log-file von highjack sind die Daten von "C: ..." enthalten. Soweit, so gut. Lasse ich aber aktiv einen scan laufen und möchte danach bestimmte Einträge fixen, sind genau die Einträge von "C: ..." nicht sichtbar, also auch nicht "fixbar". Das meinte ich - und darum dachte ich, besteht zumindest die Möglichkeit, das ich etwas falsch gemacht habe.

Wenn ich jetzt im Anhang ein neues "highjack-scan" zeige, ist es eines aus der "log-version". Es entspricht nicht der Ansicht, die ich habe, wenn ich einfach den check laufen lasse und danach bestimmte items mit Haken zum checken anklicke.

Da blicke ich eben grad nicht durch .... War das verständlich? Wenn nicht - bitte klarmachen.

LG
maysun

PS: lächel - aber das meine ich ernst, total ernst: ihr seid echt wichtig und die meisten von uns Menschen merken es immer erst dann, wenn's knallt! Egal - such is teamwork. Danke, das ihr dabei seit!

Anhang:
<highjack aktuell

Logfile of HijackThis v1.99.1
Scan saved at 20:31:04, on 05.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\jdk-1.4.2\bin\javaw.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINDOWS\system32\cleanmgr.exe
C:\Programme\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://???.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: BrwIEConnector Class - {908A31E8-2A6E-4736-8E8A-AAF00C4AE38F} - C:\PROGRA~1\Browster\Browster.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\***\LOKALE~1\Temp\juan.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O5 "LPT1:" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [eVIA Offline] C:\Programme\ITERGO\eVIA\eVIAHost.exe
O4 - HKLM\..\Run: [dbBausparenOnline] "C:\Programme\bin\startupTomcat.bat"
O4 - HKLM\..\Run: [dbBODelTSM] C:\Programme\bin\delTomcatStarting.bat
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O4 - HKLM\..\Run: [SecurityUpdate] rundll32.exe C:\WINDOWS\system32\jeiaxhf.dll,TurnOn2
O4 - HKLM\..\Run: [VirusProtectPro 3.3] "C:\Programme\VirusProtectPro 3.3\VirusProtectPro 3.3.exe" /h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://???.microsoft.com/
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE

Na, du kannst bei Hijackthis natürlich nicht die "Einträge" fixen, die im Logfile als laufende Prozesse auftauchen. :)
Das geht nur bei denen, die im Logfile mit einem Buchstaben und direkt dahinter einer Zahl codiert sind.

Ach ja, jetzt weiss ich was du meinst:
Fixe die anderen Einträge sofern noch nicht geschehen. Nein, ich hab das jetzt nicht geschnallt, sorry. Beim scann siehst Du die C: Dateien nicht, nur im späteren Log. Such das Programm C:\Programme\Video ActiveX Access unter Start > Systemsteuerung > Software und klicke auf "entfernen".
Solltest Du diese Datei nicht finden mache die versteckten Dateien wie folgt sichtbar :
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht > Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen > Geschützte und Systemdateien ausblenden --> Haken entfernen >Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen
Unter Start > Suchen > Dateien und Ordnern > Video ActiveX Access eigeben und löschen. Dann gehts weiter.

Schädliche Einträge, fixen:
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://localhost:8081/eVIA/Default.aspx
O2 - BHO: (no name) - {184746EC-9E9D-4C7D-B9E7-9039EBD801A9} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - C:\DOKUME~1\***\LOKALE~1\Temp\juan.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dl
O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe
O21 - SSODL: hirtellous - {fa19bd7e-50bc-4203-80ac-c4edc81ca9a3} - (no file) ... der ist sogar noch neu drauf. :mad:
Also, mal ganz ehlich, hat sich verschlechtert.... Ob sich das lohnt.....

Hallo Mobius07,

danke für die Antwort,

nun - unter "software" waren die Einträge leider nicht zu finden - habe die registry aufgerufen und sie zumindest dort gelöscht.

Wie geht es jetzt weiter und - was mich interessieren würde - gibt es bei dem aktuelleren logfile-posting noch Einträge, die zu bearbeiten wären, also neue?

Vielen Dank aber für die Info!!!!

LG
maysun

Zitat:

Zitat von maysun (Beitrag 277814)

nun - unter "software" waren die Einträge leider nicht zu finden - habe die registry aufgerufen und sie zumindest dort gelöscht.
Wie geht es jetzt weiter und - was mich interessieren würde - gibt es bei dem aktuelleren logfile-posting noch Einträge, die zu bearbeiten wären, also neue?

Du solltest Dich wirklich mit dem Gedanken anfreunden, neu aufzusetzen.
Das mit dem Bereinigen ist bei den Mengen an Einträgen viel zu zeitaufwändig und unsicher. Du hast null Garantie, und in der gleichen Zeit spielst Du locker ein neues Image auf. Oder hast Du wichtige Dateien die Du nicht verlieren willst?
Den Aktive X Sch... finden: Siehe Anleitung versteckte Dateien und Ordner sichtbar machen. Neue Einräge? Ja hast Du! Steht alles unten....

Hallo mobius07,

ja es gibt sehr viele und wichtige Dateien.

Na und unten sehe ich nix ....

Danke trotzdem

maysun

@Maysun, das soll jetzt nicht oberlehrerhaft klingen :heilig:
aber über Backups macht man sich immer Gedanken BEVOR etwas passiert. Was willst du denn machen, wenn sich von heute auf morgen die Festplatte verabschiedet?

Nichtsdestotrotz kannst du noch Daten sichern, besorg dir ne Notfall CD wie BartPE oder Knoppix und sicher die Daten extern. Notfall-CD deswegen, damit ein kompromittiertes System nicht den Backvorgang beeinträchtigen kann. Und sichern solltest du sicherheitshalber nur reine Datendateien wie Musik, Bilder, Videos, Dokumente etc. keinesfalls ausführbare Dateien (*.exe, *.com etc).

@cosinus : Wer setzt schon gern seinen Rechner neu auf ?
Aber bei den Einträgen sollte man wirklich abwägen was sinnvoll erscheint.
Man versucht ja nur den Leuten das Beste zu wollen, in diesem Fall find ich das Ganze etwas frustrierend. Man macht das ja in seiner Freizeit hier, da sollte schon wenigstens ein Erfolg rüberkommen. Aber dies hier ist irgendwie ein Negativ-Erlebnis.

Gruß von der Schwebebahn an den Roland.

Hallo Mobius07,

vielen Dank für Deine Unterstützung. Den Rat, das System neu aufzusetzen, werde ich befolgen. Denn es scheint echt "dicht" besiedelt zu sein. Noch nicht einmal der Active X-Ordner läßt sich löschen. die imsmn.exe-Datei schlägt sich nach löschen immer wieder in den task-manager. So erreicht sie ein "ich-bin-aktiv-und-kann-nicht-gelöscht-werden-haha!". Da habe ich keine Chance.

Allerdings sehe ich Deinen Rat positiv.

Muß halt eben erst mal Zeit finden, um diese ganze Angelegenheit zu erledigen. Das war ja nicht eingeplant und momentan ist es eng. Eine Erfolgsmeldung erhälst Du nach Erledigung aber GARANTIERT, versprochen!

Vielleicht muß ich dann ja trotzdem noch mal was nachfragen ....

Jedenfalls hast Du sehr geholfen. Positiv :-) Danke!