Dienste wie "Remote Procedure Call"

[Ronschk]

also hat angefangen als ich plötzlich von meiner firewall gewarnt wurde, dass jemand auf mich zugreifen will...
hab das dann natürlich net zugelassen und erstma alle möglichen progs durchlaufen lassen....
viren hab ich keine....
Bei meinem hijack logfile sagt er das:

Logfile of HijackThis v1.99.1
Scan saved at 00:49:49, on 01.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\msav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mskf32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {934F52F5-7431-6F8D-CF03-508A60646BCC} - C:\WINDOWS\ieda.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [msav.exe] C:\WINDOWS\msav.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

.... scheint ja irgendwas mit meinem internet explorer net zu stimmen (?!) benutze aber immer firefox.....

bei spybot findet er immer wieder 6-8 spys:


und zeigt nach dem ersten spy das an:



oder wenn ich den pc neu starte und nochma überprüfe das:




bin dann ma in "Dienste" reingegangen und hab geguckt.... als die meldung von "Remote Procedure Call" kam, hat er den angezeigt..... den anderen net.... nach dem nächsten neustart hab ich denn nach "Network Securety Service" gesucht und gefunden... diesmal aber wieder den anderen nicht, stattdessen aber:



die beiden anderen male waren beide dienste deaktiviert.

also:
-weiß jemand was es mit den progs auf sich hat? (als ich gegoogelt hab wurde gesagt das die gut sein sollen.... aber warum schlägt spbot dann so hart an?)
-wie siehsts mit meinem logfile aus? is nur der internet explorer im arsch oder muss ich mir mehr sorgen machen?
-wie bekomm ich die ollen spys weg?
-reicht die olle standart windows firewall?



hoffe ma die fragen sind net allzu blöde thx trotzdem schonma

 

[NocturntehSex]

ehm man lässt spybot und ähnliches im abgesicherten modus laufen dann sollten die sachen nich mehr da sein....poste btw ma ein bild von deinem taskmanager mit allen prozessen, is übersichtlicher

 

[Picard]

hm hjt log passt schon

schließe alle browser wnds...


scan mal

C:\WINDOWS\msav.exe

mit nem antivirenscanner (evtl online, z.b. http://virusscan.jotti.org/) und

C:\WINDOWS\system32\mskf32.exe

auch mal scannen. evtl beide sogar fixen, zumindest zur letzten exe find ich nix wirkliches 8[



auf jedenfall alle R0,R1 und R3 Einträge fixen!

O2 - BHO: Class - {934F52F5-7431-6F8D-CF03-508A60646BCC} - C:\WINDOWS\ieda.dll
O4 - HKLM\..\Run: [msav.exe] C:\WINDOWS\msav.exe

so ja das fixen
evtl neustarten und nochmal scannen

zum thema firewall: wenn du einen router hast, dann brauchst du garkeine zusätzliche fw. wenn du hinter nem modem hockst... da kann ich z.b. kerio pf empfehlen. hatten da ja auch erst nen thread zu...

 

[[For]Hood2]

Das ist Coolwebsearch Homesearch variante, einer der miesesten überhaupt.

Mache folgendes um ihn wieder los zu werden.

Downloade CWShredder aber noch nicht laufen lassen:
http://cwshredder.net/bin/CWShredder.exe

Downloade About:buster voon einer der unteren lokations, aber noch nicht laufen lassen:
http://www.majorgeeks.com/download4289.html
http://files.iamnotageek.com/aboutbuster.zip
http://www.downloads.subratam.org/AboutBuster.zip

Downloade Ewido installiere und update Ewido aber noch nicht laufen lassen.
http://www.ewido.net

Nun in den abgesicherten Modus neustarten.

Starte HijackThis und mache einen Haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xhimo.dll/sp.html#63796
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {934F52F5-7431-6F8D-CF03-508A60646BCC} - C:\WINDOWS\ieda.dll
O4 - HKLM\..\Run: [msav.exe] C:\WINDOWS\msav.exe

Schliesse alle Programme ausser HjT und clicke FIXchecked.

Nun lasse CWS durchlaufen
Danach About:buster
Schliesslich Ewido mit einem Fullscan.

Neustart.

Download http://lineofire.geekstogo.com/cwsserviceremove.zip entzippe und doppelklicke Die Datei um sie in Deine Registry einzu fügen. Diese Regdatei entfernt den Dienst der diesen Hijacker Schützt.

Und finger weg vom RPC Dienst, beendest Du diesen wirst Du neuinstallieren müssen.

 

[Ronschk]

danke danke

 

[Ronschk]

öhmm jo hab nu alles gemacht (konnte aber aboutbuster net updaten)

nu kommt bei spybot auch net mehr die meldungen mit: NSS oder RPC
aber es werden immernoch 3 spys gefunden (immerhin 3 weniger als vorher ):






naja immerhin is nu alles andere wieder gut
und wieder ein paar spys gekillt

€: ach ja.... ewido ist doch etwas gegen spys oda? soll ich dann nur das nehmen (anstatt spybot s&d)

 

[[For]Hood2]

Klcik mal auf das Plus davor damit ich sehe was er da findet.

 

[Ronschk]

 

[[For]Hood2]

Ewido und Spybot ergänzen sich hervorragend.
Start/ausführen %temp% eintipppen

Alle Dateien löschen, zumindest aber 1.tmp.


HijackThis, klick config, klick misctools, klick ADS-Spy, klick scan, nach dem scan klick save log und poste das bitte hier.

Und bitte ein HijackThis log posten.

 

[Gast]

wie fett muss man den richtigen thread denn noch promoten?!

 

[Ronschk]

sry dachte bicht das mein problem sowas normales wäre... und wenn ich hier schon anfange kann ichs doch auch zu ende machen oda?


C:\WINDOWS\Angler.bmp : lezzv (35353 bytes)
C:\WINDOWS\tsoc.log : gdrpz (84545 bytes)
C:\WINDOWS\wmprfDEU.prx : jfmnqq (11801 bytes)
C:\WINDOWS\_default.pif : dwhnbb (35353 bytes)
C:\WINDOWS\_default.pif : lwoizz (11801 bytes)

normalen log:

Logfile of HijackThis v1.99.1
Scan saved at 00:31:42, on 03.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\WINDOWS\ATKKBService.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hijack\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\\SmartDoctor.exe /start
O4 - Global Startup: Sinus 154 stick WLAN Manager.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

thx dass du dir so viel mühe gibst




EDIT:
wollte jetzt einfach nur mal so ewido wieder laufen lassen, aber wenn der scanner bei 2% angekommen ist fährt er en pc neu hoch... hab auch schon neu gedownloadet, ändert sich aber nix


ach ja noch was: habe auch schon im "schädlingsbefall" thread geguckt aber ach keine 100%ige lösung gefunden.... mein antivir weißt mich nämlich abundzu auf trojaner hin.... ich klicke dann immer auf "zugriff verweigern und datei belassen", aber das zeigt doch das ich den trojaner bei mir auf dem pc habe.....
warum wird der nicht durch antivir gelöscht? hab gerade nämlich nochma antivir durchlaufen lassen.... hat aber nichts gefunden...
der zeigt mir nur:
Warnungen:6
Hinweise:89 an...

...... schon bissle viel ne?

 

[Ronschk]

öhmm sry das ich das jetzt mal "uppe" aber will net nen neuen thread machen oda so, weil der hier vllt übersehen wird ^^

 

[[For]Hood2]

Ich habe auch ein privat leben...

Ok noch mit ADS scan scannen die gefundenen markieren und "remove selected" anklicken.

Download mal http://www.ccleaner.com/ccdownload.php und lass den laufen, der säubert Deine temp verzeichnisse. Dann sollte Ewido auch wieder laufen.

Antiviren programme benutzen unterschiedliche Suchengines, KEINE findet alles, die eine mehr die andere weniger. Das ist ein Werbe trojaner da tuen sich alle Antivirenscanner schwer.

Neustarten und lasse Spybot nochmal laufen, sage mir wenn er was findet.

 

[Ronschk]

sry wenn sich das so angehört hab... meinte aber net dass du hier alles beantworten musst und dass ich auf dich warte

finds sowieso mega nett dass du hier voll viele fragen beantwortest...

wollte den thread nur oben behalten, damit den auch andere sehen ^^
aber thxxxxx

€: sry wenn ich gerade etwas verpeilt bin, aber ADS?
(kenne das nur als AufmerksamkeitsDefizitSyndrom )

 

[[For]Hood2]

Da sag ich mal nichts zu

HijackThis, klick config, klick misctools, klick ADS-Spy, klick scan, nach dem scan die gefundenen markieren und "remove selected" anklicken.

 

[Ronschk]

ähmm der zweite eintrag weißt glaub ich nur darauf hin dass ich die automatischen updates ausgestellt habe....

 

[[For]Hood2]

Jo passt. Noch irgendwelche Probleme?

 

[Ronschk]

juchu endlich wieder sicher thxx

öhmm bis auf das manchmal solche trojaner warnungen kommen... (durchschnittlich 1 mal in 2 tagen)

aber du meintest ja die seien ungefährlich...?

 

[[For]Hood2]

Wo hab ich das gesagt? Jeder Trojaner gehört gejagt und gehäutet.

Wenn Du andauernd Warnungen bekommst meide die Seiten.

Stelle sicher das zu mindest die Windows Firewall läuft.

 

[Ronschk]

ok stimmt du hast nur gesagt, dass sie schwer zu finden sind.... naja manchmal bekomm ich die auch einfach so.... (wenn ich nicht im ie oder mozilla ff bin.....) dann meldet sich antivir und sagt: bla bla bla trojaner will auf diese datei zugreifen

dann kann ich so sachen aussuchen wie:

-betroffene Datei in Quarantäne verschieben
-zugriff verweigern und Datei belassen (<-- neh ich immer)
-betroffene Datei löschen


aber wenn antivir weiß dass ich ein trojaner habe und soagr vllt wo der sitzt sollte es doch was machen können oda ?

falls nicht, wie kann ich die trojaner denn "jagen und häuten"? hab bei "schädlingsbefall" schon geguckt aber nicht wirklich was gefunden....
oder bringen es diese online-virenscanner?

Windows firewall hab ich immer am laufen....

 

[[For]Hood2]

Wen Dein Antvirus was meldet dann verschiebt man das in die Quarantäne. Sollte es immer wieder kommen und/oder immer der selbe, dann zieht man das aktuellste update bootet in den abgesicherten Modus und macht einen kompletten scan.

Die online scanner haben den vorteil das sie nicht immer mitlaufen und man verschiedene Such engines einsetzen kann. Die Datei belassen hilft 0.

Dazu kommen Programme wie Ewido und Spybot, Adaware etc... Sie entfernen mehr schadhafte einträge wie die Antivirenprogramme die sich fast auschliesslich auf die Dateien beschränken.

aber wenn antivir weiß dass ich ein trojaner habe und soagr vllt wo der sitzt sollte es doch was machen können oda ?

"Antivir" weiss garnichts. Er zeigt Dir eine Datei an die irgendwelchen Regeln entspricht. Entscheiden MUSST DU. Man kann den auch auf automatisch löschen stellen. Darum ja verschieben wenn man sich nicht sicher ist, geht nach einen reboot etwas nicht checkt man die Datei mit einem anderen Scanner und verschiebt wenn sauber sie wieder an die richtige Stelle.

 

[Ronschk]

ok thxxx

denke ma das wars dann, vielen dank für die hilfe

 

[Gast]

übrigens kann so eine warnung auch von den quarantäne/backupordnern von spybot oder adaware stammen. aber der pfad steht ja da...