System Alert
 

Hi Leute!
seit geringer zeit bekomme ich ständig sie meldung SYSTEM ALERT angezeigt. Habe schon einen hijackthis-check durchgeführt, kann aber nichts damit anfangen. hab mir erlaubt die log-datei mal einzustellen, vielleicht könnt ihr was damit anfangen. wäre echt froh, wenn mir jemand helfen könnte...ist nämlich sehr nervig das thema...

hier die log:

Logfile of HijackThis v1.99.1
Scan saved at 15:35:46, on 10.07.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\OPLIMIT\ocrawr32.exe
C:\WINDOWS\system32\rvs_cent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\männel\Downloads\setup.exe
C:\Dokumente und Einstellungen\heinzel\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für

hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext =

http://www.t-online.de/service/redir/tosw4_start.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: load=C:\OPLIMIT\ocraware.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update

Manager\LxUpdateManager.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AD126A8C-C9FB-4AA9-84FD-7BD312D10292}: NameServer = 192.168.0.1
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame

Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems

Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner -

C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: RVS CAPI (RVS_CE) - RVS Datentechnik GmbH, Munich - C:\WINDOWS\system32\rvs_cent.exe

vielen dank schon mal!

gruss heinzelmännel

Hallo,
es ist immer fraglich, ob eine Bereinigung sinnvoll ist, wenn das Betriebssystem nicht aktuell gehalten wurde (dir fehlt das SP 2 und alle nachfolgenden Updates!). Denn wo ein Schädling identifiziert wird, verbergen sich möglicherweise weitere, unbemerkte.

Wenn eine Neuinstallation und anschließende Absicherung für dich nicht in Frage kommt, gehe wie folgt vor:

1. Besuche Microsoft Windows Update und bringe dein Betriebssystem auf den neuesten Stand
2. Schaue in diesen Thread und arbeite nochdiggers Anleitung ab, genau so, wie sie da steht.
3. Prüfe bei Virustotal die folgende Datei und poste das komplette Scan-Ergebnis:
Melde dich dann wieder mit allen geforderten Logs und Ergebnissen. ;)

hi franz!
danke für deine schnelle antwort...
ich versuche das update durchzuführen, melde mich dann wie du vorgeschlagen hast...
gruss h.m.

Ich glaube, Du hast das missverstanden - ein nachträgliches Einspielen einer eigentlichen Vorbeugemaßnahme ist keine Maßnahme zur Bereinigung eines bereits infizierten Systems!

Das sind Zlob & Co (ein Trojan-Downloader, der weitere Schädlinge herunterlädt).

Das Thema ist nicht nur nervig - es ist vor allem bedenklich, weil über die Schädlinge Dritte etwas mit Deinem PC anstellen, dass Du aus eigenem Antrieb nie selbst so machen würdest. Malware ist nicht einfach so da und nervt, sie hat auch einen besonderen Zweck!

Dem System hätte vorbeugend notwendigerweise das Service-Pack 2 plus nachfolgender Updates gefehlt - für diese nun verseuchte Installation ist das Einspielen jedoch zu spät.

Die aktive Java-Installation ist ebenfalls hoffnungslos veraltet und reißt damit erhebliche Löcher in Dein System - allein das Ansurfen einer präparierten Website kann bereits eine Infektion bedeuten, ohne dass Du dazu noch etwas anklicken müsstest.

Prima - Du verwendest Acronis True Image. Spiel daher einfach das letzte Image von vor der Infektion ein. Danach kannst Du dann das SP2 einspielen. Verwende aber bitte keine Programme, Installationsdateien, usw. von anderen Partitionen weiter - sie müssen als verseucht angesehen werden.

Bei Dir ist der Trojan-Downloader Zlob aktiv. Das heißt: System neu aufsetzen oder sauberes Image einspielen. Es heißt ferner, zukünftig vorsichtig zu sein mit Dateien aus unseriösen Quellen, insbesondere sollten keine Programme oder vermeintliche Codecs aus Dateitauschbörsen oder dubiosen Seiten geladen werden. Auch die genutzten Programme sind allesamt stets aktuell zu halten, das Internet sollte nur mit einem eingeschränkten Benutzerkonto und nicht als Admin verwendet werden.

Ich halte es für sehr risikoreich, auf dem ungepatchten System den Internet Explorer zum Surfen einzusetzen.

[code]O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll[code]
Weitere Zlob-Einträge.

Liebe engagierte Teilnehmer an diesem Problem.
Auch ich habe diesen Quäl-Geist "System alert" auf dem Rechner und habe versucht das Problem auf die beschriben Weise zu lösen!
Ohne Erfolg, aber nicht weil ich denke, dass es nicht so geht wie beschrieben, sondern weil ich es nicht richtig kann!!
Bin 65 Jahre und nicht clever genug für diese ausgefuchsten Wege!
Darum meine Bitte, mir einen Weg zu zeigen der einfach ist.
Ich stelle mir vor, ein Clean Programm von euch empfolen zu bekommen und dann ist "Alert" wieder weg!
Gruß Wolfgang01

@wolfgang01

Bitte eröffne einen eigenen Beitrag im entsprechenden Unterforum, poste auch gleich ein Hijacklog von HijckThis,
Anleitung unter FAQ-/Anleitungsforum.

Gruß
Sunny