Hilfe bei Schädlingsbefall -ARCHIV-

[Acryl]

Trojaner/Viruse etc...

also vorneweg, ich hab die suche benutzt und hab vermutlich 90% der ganzen antivir tools runtergeladen und ausprobiert. mittlerweile hab ich auch ziemlich schmerzhaft und mit einigen beinahe-nevernzusammenbrüchen feststellen müssen, dass man besser nicht mehr als 1 antivir guard aktiviert haben sollte, wenn einem die stabilität des systems am herzen liegt.

ich bin mir nicht ganz sicher was nerviger ist, die ganzen trojaner / dialer / viruse auf meinem comp oder die nervigen tools die, sobald man nur den inet explorer öffnet, anschlagen, nen neuen virus finden, das ganze system flach legen und obendrein noch unfähig sind diesen zu löschen...

also vor 2-3 monaten hab ich mit Spybot Search & Destroy mein System bereinigt. anlass dazu war ein extrem kaputter inet-explorer. hab ca. 150 files von meiner HD gekickt und dachte ich wäre nun safe. hab das tool immer mal wieder drüber laufen lassen und es auch fleißig geupdated.

nunja irgendwie kamen in letzter zeit zunehmend macken dazu und ich hab Antivir drauf gehaun, was zu meinem erstaunen ebenfalls wieder um die 150 dinger gefunden hat. ok alle gekickt und den guard laufen gehabt, dieser fand _STÄNDIG_ neue Dialer / trojaner - und wenn er in der lage war diese zu löschen, waren sie nach wenigen minuten wieder da, also wie unkraut das nicht an der wurzel entfernt wurde. mal davon abgesehen das es nervig wurde alle 5 mins aus games getabbt zu werden war dieses antivir tool total nutzloß.

nun wurds langsam dreist, es kamen neue icons auf meinem desktop hinzu wie "casino", "poker", "travel" und in meinem inet explorer richtet sich hin und wieder eine mit werbung bestückte suchmaschiene.

dachte ich es wird mal zeit für ein qualitatives produkt -> norton installiert -> findet _garnichts_ und verursacht fast jedesmal einen systemabsturz wenn ich den inet explorer benutze -> weider deinstalliert ( auch andere leute in anderen threads fanden es nutzlos, scheint also kein einzelfall zu sein ?).

dann, kaspersky oder so installiert. für 1% des kompletten system checks braucht das tool 30! minuten und während dieser zeit ist der rechner quasi nutzlos weil er so dermaßen asugelastet ist. das hab ich abgebrochen und dachte vielleicht bringt der guard ja was .... ok inet explroer aufgemacht und schon schlägt der guard an und hat nen trojaner der allerdings schreibgeschützt ist.... kann ihn also nicht löschen. k. dumm nur das es immer weider anschlägt und sich nichtmehr schließen lässt -> system crash nach wenigen sekunden -> sehr hilfreich das tool!

ad-aware und dr. spyware draufgehaun - erstes findet 170 und 2tes findet anschließend nochmal 60. ok.. fühle mich immernoch nicht sicher und trojaner frei.

alles in allem, jedes tool findet andere unmengen an scheisse, löscht diese und wenig später sind alle wieder da. ich surfe auch nicht auf porn oder anderen drecks seiten rum und trotzdem finde ich son misst auf meinem desktop ? das kann doch nciht sein ? was kann ich noch tun... die ganzne progs scheinen nutzloß.

ich glaub ich deinstallier erstmal kazaa, ich hab den eindruck das es jedes mal besonders schlimm ist nachdem ich dieses dreckstool benutzt hab.

paar tipps ?

 

[4GT~DosX]

Klingt stark nach einem Schädling der andere Malware nachläd. Phatbot: http://www.f-secure.com/v-descs/agobot_fo.shtml scheint mir der Übeltäter zu sein.

Allgemein bester Tipp zu diesem MultiVirus: reinstall.

und für danach gleich den Hinweis: entweder komplett gepatchten IE mit Zusatztools und Guards oder anderen Browser. Opera und Firefox sind die Alternativen.

Der Kampf ohne Reinstall wäre lang und schmerzhaft für euch beide. Also lieber den schnellen Weg.

 

[Sodom&Gomorrha]

Casino- und andere Desktopobjekte; Dialer o_O ?
IE ist schlecht, da er einige Exploits hat, aber noch viel schlimmer sind zu niedrige Sicherheitseinstellungen wie aktiviertes ActiveX, fehlende Patches usw.

An deiner Stelle würde ich die wichtigsten sauberen privaten Daten sichern (Spielstände, Bilder, MP3s usw.) und deine HD komplett und sauber plätten, anschließend Windows neu installieren.

Selbst wenn du nun alles säuberst, laden ein paar der böseren Würmer (Agobot, Phatbot usw.) sofort bei der nächsten Internetverbindung wieder nach.

Ergo -> Backup and go reinstall, imo die einzig wirksame Lösung bei einem stark verseuchtem System.

Ansonsten benutze in Zukunft keinen Internet Explorer mehr, verwende eine gescheite Firewall und aktualisiere deinen Virenscanner so oft es geht (bzw. das LiveUpdate eingeschaltet lassen bei Norton, logisch).

Btw, ich halte von Norton nicht viel.
AntiVir tut's auch, ist kostenlos und spachtelt kaum an Systemleistung. Die Updates muß man zwar jedesmal komplett herunterladen bzw. den Scheduler das übernehmen lassen, dafür ist der Virenscanner sehr empfehlenswert


€dit: Dos war schneller

 

[flothefreak]

und dass das ganze zeug ständig wiederkommt, leigt wohl daran, dass du keine personal firewall installiert hast

selbst wenn du einen wurm per antivir löschst, bleiben ja die löcher über die er gekommen is offen->er nimmt den selben weg nochmal

 

[Acryl]

thx für die tips. lade mir grad das patch runter, will erstmal das probieren. format wäre ziemlich fatal =\

was fürne firewall würde sich den empfehlen ? und mal angenommen ich kicke nun das ganze zeug, patche mein windows, use evtl. nen neuen explorer + ne firewall.... hätte ich aussicht mein system wieder komplett frei zu kriegen ?

achja und noch ne frage, liegt das an den ganzen viren oder ist es advertisement von der bw.de page das sich unten son schmaller banner mit links zu casino sachen etc. einblendet ? = \

 

[Sodom&Gomorrha]

inGame schaltet keine Pop-Ups, sondern nur Banner; im Forum das Bildchen über der Leiste, wo eben mein vB, registrieren usw. steht.

Es ist definitiv Spyware - und der IE zieht besonders viel davon an. Zumal schon der bloße Besuch von Webnseiten ausreichen kann, um Trojaner usw. installieren zu können.

Mach doch einfach mal den Test:
Mit deinem aktualisierten (!) Spybot löschst du alles an Spyware und Tracking Cookies.

Gehe nun mal drei Tage lang mit dem IE ins Netz (dabei gleich mal den neuesten Firefox von www.mozilla.org/products/firefox ziehen), starte Spybot und zähle die Zahl der neuen Tracking Cookies.

Danach benutzt du nur Firefox und gehst damit ebenfalls drei Tage lang ins Internet. Dann starte mal Spybot nochmals und du wirst überrascht sein

 

[Acryl]

erm yo, immerhin bin ich nicht mit agobot infiziert = \

vielleicht wird alles gut wenn ich einfach nur ne firewall benutze ? ich meine .. die hoffnung stirbt zuletzt ? also her mit den empfehlugnen = /

 

[Sodom&Gomorrha]

Wenn du einfach nur alles schnell konfiguriert haben willst und du auf Details wie Portfreigaben usw. keinen großen Wert legst, hier mal zwei bekannte Beispiele, die es als Freeware und Pro-Versionen gibt:

www.zonelabs.de - Zone Alarm.
Programme fragen, ob sie ins Internet dürfen, du setzt die Erlaubnis, einfach. Als Paketfilter ganz okay.

Wenn du alles exakt konfigurieren willst beim Paketfilter, Ports, die genauen Prozesse, die beteiligt sind bei den Proggy usw.
http://www.sygate.com/ - Sygate Personal Firewall

 

[Acryl]

also ich hab mal zone alert und den browser d/lt. probiere das nun mal aus, würed schon gern um nen format rum kommen.

thx für alles, hoffentlich klappts =\


ps: ich würd mal gern jmd. der für solche viren verantwortlich ist in die finger kriegen...

 

[[For]Hood2]

wann werden hier die Möchtegerns endlich verstehen, das eine Firewall nicht vor Adware und Spyware schützen kann. Schon garnicht vor den Befall durch diese, mit Ausnahme der Blaster und Sasser basierenden Würmer/Trojaner.

Es bleibt Dir wenn du ein sauberes System haben willst nur der Weg über die Neuinstallation. Wenn dein System fast clean werden soll, dann benutz folgende Programme:
Adaware
Spybot S&D
Spywareblaster
Diese Programme sind vor dem gebrauch upzudaten oder sie sind fast nutzlos. Spybot und Spywareblaster ergänzen sich , da Spybot ebenfalls dein System immunisieren kann.

Ein Antivirusprogramm welches ebenfall auf den aktuellsten Stand gebracht werden muss.

Dann bootest Du in den abgesicherten Modus und läßt Adaware, Spybot und dein Antivirus ein kompletten Systemscan durchführen, nimm dir Zeit das kann dauern.


Wenn alle 3 durch sind, aktivierst du die Win interne FIrewall und installiert ALLE Security Updates über Windows update. Solltest Du XP benutzen ist das SP2 angesagt.

Zum Schluss zieh dir Hijackthis und poste hier einen Scan.
Dann schauen wir mal was noch drauf ist.

Es ist schwer zu empfehlen einen anderen Browser wie Firefox oder Opera zu benutzen.

 

[Dr. Picasso]

ich habe ähnliches problem:
beim IE ändert sich ständig die startseite
ich such mit adaware, er findert, er "löscht", er sucht nochmal, er findet, er "löscht", er sucht nochmal, er findet .......

das problem interessiert mich eigentlich wenig, da ich für 99,9999% der fälle mozilla use
allerdings für windowsupdates und der download des ein oder anderen replays muss ich IE benutzen

trotzdem aber die frage: was denkt sich adaware dabei einen virus (oder ka was das is) zu "löschen" um ihn 10 sek später bei einer neuen suche wieder zu finden?

 

[[For]Hood2]

Original geschrieben von Acryl
also ich hab mal zone alert und den browser d/lt. probiere das nun mal aus, würed schon gern um nen format rum kommen.

thx für alles, hoffentlich klappts =\

Wenn Du Firefox oder Opera benutzt, dann ist es wichtig in der Systemsteuerung/Internetoptionen/Sicherheit
den die Zone Internet und lokales Netzwerk auf Hoch zu stellen.(reicht für den Anfang)

ps: ich würd mal gern jmd. der für solche viren verantwortlich ist in die finger kriegen...

Du solltest lieber mal darüber nachdenken dein System einmal im Monat upzudaten, ein Antivirus zu benutzen und ein wenig sorgsamer mit dem Medium Internet umzugehen.
Denn diesen Mist hast Du Dir selber durch sorglosen Umgang eingefangen.

Wenn jeder einmal im Monat sein Windows updaten würde, hättet ihr 90% weniger Probleme. Wir mehr ruhe und alle wären glücklicher...

Zu befürchten ist allerdings das Du in 3 Monaten hier wieder mit dem selben Problem posten wirst.

In diesem Sinne erwarte ich dein Hijackthis log hier.

 

[DiE]eVe[]

Gut, schreib ich hier rein .. wie werd ich:

http://www.heise.de/security/news/meldung/46126

los?

find nur solche meldungen aber keinen fix .. kotz

 

[[For]Hood2]

Original geschrieben von PiCaSsO
ich habe ähnliches problem:
beim IE ändert sich ständig die startseite
ich such mit adaware, er findert, er "löscht", er sucht nochmal, er findet, er "löscht", er sucht nochmal, er findet .......

das problem interessiert mich eigentlich wenig, da ich für 99,9999% der fälle mozilla use
allerdings für windowsupdates und der download des ein oder anderen replays muss ich IE benutzen

trotzdem aber die frage: was denkt sich adaware dabei einen virus (oder ka was das is) zu "löschen" um ihn 10 sek später bei einer neuen suche wieder zu finden?

Du hast wahrscheinlich coolwebsearch, der kann weder von Adaware noch von Spybot so ohne weiteres entfernt werden.

Auch hier wird ein Hijackthis log benötigt. VORHER POSTEN
Auch gilt erstmal ALLE winupdate durchführen. Spywareblaster installieren, updaten und alle auf Protect stellen
mit Adaware (updaten) und einen completten Systemscan durchführen, ebefalls in der Host und in Archiven suchen lassen. NACH DEM ENTFERNEN S O F O R T neustarten und in den abgesicherten modus starten und Spybot durchlaufen lassen, immunisieren
und mit Hijackthis die Sachen entfernen die ich Dir nennen werde. wenn du das log hier postet

 

[[For]Hood2]

Original geschrieben von Darkane
Gut, schreib ich hier rein .. wie werd ich:

http://www.heise.de/security/news/meldung/46126

los?

find nur solche meldungen aber keinen fix .. kotz

In dem Du alle Security updates einspielst und danach das java, ActiveX und VBS scripting in den Zonen Internet und lokales Netzwerk komplett dektivierst und dann einen anderen Browser benutzt.

Seltsam das du zwar die Lücken findest aber das nicht:
http://www.heise.de/security/dienste/browsercheck/anpassen/ie60/

Das geht noch weiter wie nur scripting

 

[DiE]eVe[]

In dem Du alle Security updates einspielst und danach das java, ActiveX und VBS scripting in den Zonen Internet und lokales Netzwerk komplett dektivierst und dann einen anderen Browser benutzt.

Ja, vorhin schon alles gemacht .. nu taucht auch nichtmehr der Exploit selbst sondern diese ActiveX Fehlermeldung auf ... aaaber, irgendwie muss ich den kack doch auch wegbekommen oder?(ausser Browser wechseln oO)
Wobeis eh mal wieder Zeit für Format c wär

 

[[For]Hood2]

nur mit einem anderen Browser, da der IE immer diese "Fehlermeldungen/Warnhinweise" bringt wenn ActiveX ausgeschaltet ist.

Ein Format C: macht den warnhinweis auch nicht wech

 

[Acryl]

Original geschrieben von [For]Hood
wann werden hier die Möchtegerns endlich verstehen, das eine Firewall nicht vor Adware und Spyware schützen kann. Schon garnicht vor den Befall durch diese, mit Ausnahme der Blaster und Sasser basierenden Würmer/Trojaner.

Es bleibt Dir wenn du ein sauberes System haben willst nur der Weg über die Neuinstallation. Wenn dein System fast clean werden soll, dann benutz folgende Programme:
Adaware
Spybot S&D
Spywareblaster
Diese Programme sind vor dem gebrauch upzudaten oder sie sind fast nutzlos. Spybot und Spywareblaster ergänzen sich , da Spybot ebenfalls dein System immunisieren kann.

Ein Antivirusprogramm welches ebenfall auf den aktuellsten Stand gebracht werden muss.

Dann bootest Du in den abgesicherten Modus und läßt Adaware, Spybot und dein Antivirus ein kompletten Systemscan durchführen, nimm dir Zeit das kann dauern.


Wenn alle 3 durch sind, aktivierst du die Win interne FIrewall und installiert ALLE Security Updates über Windows update. Solltest Du XP benutzen ist das SP2 angesagt.

Zum Schluss zieh dir Hijackthis und poste hier einen Scan.
Dann schauen wir mal was noch drauf ist.

Es ist schwer zu empfehlen einen anderen Browser wie Firefox oder Opera zu benutzen.

also benutze nun firefox also neuen browser ( das fenster zum verfassen der postings hier hat sich um die hälfte verkleinert was stark gewöhnungsbedürftig ist ). Bevor ich die von dir beschriebene prozedur angehe, hätte ich noch ein paar fragen.

1. ich benutze win XP und wüsste gerne wie ich in den abgesicherten Modus komme !

2. Was ist SP2 und wo bekomme ich es her ?

3. Wieso ist es über diesen weg _nur_ möglich _fast_ clean zu werden ?


die sicherheitsstufe bei einstellungen etc. hab ich schon umgestellt.


nojo hast schon recht das ich etwas verantwortlungsloß und vorallem naiv war. ich hätte nicht gedacht das es solche ausmaße annehmen kann, wenn ich nicht gerade auf offensichtliche .exe files drücke...

trotzdem würde ich gerne mal jemand, der solche programme und damit andere in den wahnsinn treibt, in die finger kriegen.

vielen dank für deine hilfe

 

[ViperDK]

also mit einem kleinen bissl aufpassen passiert sowas garnicht und vor allem nicht in dem ausmass.

besorg dir am besten sp2 auf cd (glaub das ist auf der neuen c't mitgeliefert bin mir aber nicht sicher, schau im zeitschriftenladen) spiel windows neu auf und installier alle updates "bevor" du ins internet gehst. Die firewall an stellen wie es sich gehoert, nen virenscanner installieren und gut ist. browser wuerde ich opera empfehlen, bin ich zumindest ganz zufrieden. wenn ne (wichtige)page nicht geht halt den ie usen.

Virenscanner: http://www.free-av.de
Windows updates: http://windowsupdate.microsoft.com
Browser: http://www.opera.com

und AUTOMATISCHE UPDATES ANSTELLEN. [Windowstaste] + [Pause] => automatische updates

 

[cart]

Original geschrieben von Acryl
1. ich benutze win XP und wüsste gerne wie ich in den abgesicherten Modus komme !

2. Was ist SP2 und wo bekomme ich es her ?

3. Wieso ist es über diesen weg _nur_ möglich _fast_ clean zu werden ?

zu1: Wenn dein PC startet und er vom BIOS-Startbildschirm umspringt um dann Windows zu starten drückst du einfach F8. Dann kommt eine Auswahl.

zu2: M$-Update-Page

zu3: Weil Windows viel zu verbuggt bzw im Auge der Programmierer solcher Dinger liegt, um es jemals wirklich dicht zu machen.

 

[Acryl]

also nochmals danke für die ganzen replies und die hilfe.

ist das SP2 das service pack oder das Security Update ? ich nehme mal an das es sich um das Security Update handelt

das hau ich nun mal im abgesicherten drüber und lass auch die ganzen antivir dinger nochmal drüberscannen und gugge dan wo ich dieses hijackthis tool herkrieg


edit: denke ich handelt sich doch um das Service Pack - da steht aber es ist nicht für heimanwender und so = \

 

[cart]

Du kannst alle aktuellen Patches einzeln laden, oder dir das SP2 aufspielen und auch noch die neuen Features nutzen. Allein weil das SP2 zu saugen, zu installen und die neuen Features zu nutzen weniger Zeit in Anspruch nimmt, als alle Patches einzeln zu saugen, solltest du das machen.
Nach der Installation allerdings bitte nochmal die M$-Update Site besuchen und nachschauen, was noch fehlt!

 

[Acryl]

Logfile of HijackThis v1.98.2
Scan saved at 18:40:58, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
D:\Winamp3\winampa.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\ImageMate CompactFlash USB\SandIcon.Exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
c:\progra~1\intern~1\iexplore.exe
D:\ZONEAL~1\zlclient.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
F:\Spyware Doctor\spydoctor.exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\ICQ\ICQ.exe
D:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\OOD2000.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MathiasGrimm\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.broodwar.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.imluraccxqxnabr.com/ur/4w0W57fBfbRnxTL3YzXrU/AtMO1Qv6Xop_GWQOo_p9nDTplwBcXXDLBLfApYy.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {12FF1352-E219-07B6-8720-675579DB2C1E} - C:\WINDOWS\System32\abbern.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O2 - BHO: (no name) - {E6264B07-D036-F248-EE24-CE3910FAE1DB} - C:\PROGRA~1\amokmp3\Testmode.exe (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SandIcon] D:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [MMTray] C:\WINDOWS\System32\MMTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Axis Store] C:\PROGRA~1\CHINBO~1\Eq Noun Chic.exe
O4 - HKLM\..\Run: [firstownspoketool] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Heck Hide First Owns\meet live.exe
O4 - HKLM\..\Run: [KAVPersonal50] F:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "F:\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...ple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/en/wowbeta/Si.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D9A4E6-321A-4F80-AD73-06AF0F52E720}: NameServer = 217.237.150.33 194.25.2.129

 

[EasyRider]

Ich bin mir nicht sicher ob mein System nicht auch irgendwie ein wenig befallen ist.

Hier das HijackThis logfile:


Logfile of HijackThis v1.98.2
Scan saved at 19:00:37, on 06.09.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\windows\system32\secure\rundll32.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Firefox\firefox.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\EasyRider\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [ThrustTSR] D:\Programme\Thrustmaster\Thrustmapper\TMTMTSR.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: CAPIControl.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B4E57F1-52A3-4322-B46F-A00E4DFA0CF3}: NameServer = 192.168.0.1

 

[Acryl]

damn wieso hab ich soviel mehr als du =\

 

[EasyRider]

Ist mir aufgefallen, ka hab nicht soviel am laufen, aber ist wirklich ziemlich viel was du da an hast

 

[Dr. Picasso]

Logfile of HijackThis v1.97.7
Scan saved at 20:15:57, on 06.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\ICQ\Icq.exe
C:\Program Files\mIRC\mirc.exe
C:\WINDOWS\system32\rundll32.exe
F:\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Spybot\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WallPaper] F:\WallpaperChanger_v1.85\Wallpaper.exe /h
O4 - Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093715404718
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38002.4629513889



ich hab SP2 nicht drauf, nur SP1 und sonst alle windows updates
das liegt daran dass ich über SP2 bisher nur schlechtes gehört habe
isses pflicht es zu installieren?

 

[[For]Hood2]

@ Acryl oh man

Also los gehts, nun boote in den abgesicherten Modus
lass Adaware, Spybot und dein Antivir durchlaufen

danach entfernst du sofern noch vorhanden:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.imluraccxqxnabr.com/ur/4...XDLBLfApYy.html
O2 - BHO: (no name) - {12FF1352-E219-07B6-8720-675579DB2C1E} - C:\WINDOWS\System32\abbern.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O2 - BHO: (no name) - {E6264B07-D036-F248-EE24-CE3910FAE1DB} - C:\PROGRA~1\amokmp3\Testmode.exe (file missing)
O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll (file missing)
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [MMTrayLSI] C:\WINDOWS\System32\MMTrayLSI.exe
O4 - HKLM\..\Run: [MMTray2K] C:\WINDOWS\System32\MMTray2k.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Axis Store] C:\PROGRA~1\CHINBO~1\Eq Noun Chic.exe
O4 - HKLM\..\Run: [firstownspoketool] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Heck Hide First Owns\meet live.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://antu.popcap.com/games/popcaploader_v5.cab
Wobei ich die anderen 016s auch kicken würde.

Nach Hijackthis gehste in die Internetoptionen und löscht deine temporären Internetdateien (auch offline Dateien)
W I C H T I G setze nun deine Startseite neu! klicke übernehmen und mach einen neustart.

Warum ein fast sauberes System? bei den ganzen Sachen bleibt immer irgendwas zurück. Meist eine Hintertür die man nicht findet, da sie eine normale Windowssache ist, die nicht als gefahr erkannt wird.

Edit: die beiden Prozesse:
C:\WINDOWS\System32\CTsvcCDA.exe, würg Creative mist
C:\WINDOWS\system32\OOD2000.exe
OO defrag?

 

[[For]Hood2]

@EasyRider

schaut eigentlich ok aus, ABER

der prozess:C:\windows\system32\secure\rundll32.exe

sieht merkwürdig aus, haste du irgend ein
"Sicherheits"tool installiert das Du nutzt?
Wenn ja schmeiss es wech, wenn nicht und ich denke du hast nicht, denn "reguläre"Programme installieren sich nicht in einen unterordner von System32 und wenn doch sind sie meist Müll..., dann haste dein Teil.
Dazu gehört:
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
was ich auch verdächtig finde:
O4 - HKLM\..\Run: [svc] rundll32.exe
wenn du nicht regelmäßig von fileplanet
runterlädst
http://www.fileplanet.com/fpdlmgr/c...DC_1_0_0_44.cab
töten


ansonsten schauts sauber aus

 

[[For]Hood2]

@Picasso

lob und anerkennung schaut gut aus, Ausser...

du hast 2mal
C:\WINDOWS\System32\rundll32.exe
am laufen in der Autostart steht es nur für den unnützen Nvidiaaufsatz, da würde ich mal nachhacken.

Ansonsten merkt man den Einsatz vom SDhelper

Edit: Hm nach coolwebsearch sieht mir das aber nicht aus, ich brauch einen log wenn sich deine Startseite "alleine" geändert hat

 

[[For]Hood2]

Bitte bedenken das ich nur eingeschränkt entscheiden kann was wech kann und was nicht. Da ich Euer System nicht sehen kann, was installiert ist und was nicht. Im schlimmsten Fall muss ein Programm neuinstalliert werden.

Nach einem weiteren neustart sollte man nochmal Adaware durchlaufen lassen, da Coolwebsearch manchmal sehr hartnäckig sein kann.

Auch eine weitere Kontrolle mit Hijack ist nicht verkehrt.

Zum Thema SP2, wer den IE benutzt muss updaten, da erstmals alle bekannten Lücken geschlossen wurden(ich weiss das es 2 neue gibt, aber die alten sind zu!), da zu kommt der Popupblocker etc.
Wer es nicht tut gehört erschossen.

Der It Heini gehört verhauen, da er eigentlich keine solche Pauschalaussage treffen sollte.
Ich bin der Meinung das 99% aller prv XP benutzer das Sp2 installieren sollten/müssen, nachdem die die Hersteller ihrer benutzten Software nach update befragt haben/updates installiert haben. Die restlichen sind Leute wie BA, Xfree und Co.

Allein wegen der security updates ist es ein muss. In einer Firma wo ein "Fachmann" die PCs betreut und meist spezielle Software läuft sieht es anders aus. Da muss erst getestet werden, aber ansonsten ein muss.
Natürlich gibt es auch Probleme, aber die sind eigentlich zu vernachlässigen.
Der Sicherheitsgewinn bei den normalos
ist wichtiger.

Gruss Hood

 

[Dr. Picasso]

Original geschrieben von [For]Hood
du hast 2mal
1C:\WINDOWS\System32\rundll32.exe
am laufen in der Autostart steht es nur für den unnützen Nvidiaaufsatz, da würde ich mal nachhacken.

2ich brauch einen log wenn sich deine Startseite "alleine" geändert hat

zu 1: wie soll ich da "nachhaken"? hab keine lust was wichtiges zu löschen ...

zu 2: ich hab adaware laufen lassen, der hat beim IE was gefunden, und hats "gelöscht", danach hab ich IE gestartet und es kam sofort diese MSN startseite
der log danach sah exakt gleich aus wie der oben

EDIT: offenbar war schon der erste log einer kurz nachdem sich die startseite verändert hat, denn als ich gerade nochmal einen log erstellte, gab es nur 1x rundll32.exe
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\mozilla.org\Mozilla\mozilla.exe
C:\Programme\ICQ\Icq.exe
C:\Program Files\mIRC\mirc.exe
F:\programs\progs\antivirus\HijackThis.exe
das könnte doch bedeuten dass eine der rundll32.exe aus dem oberen log für das verändern verantwortlich ist?

 

[Acryl]

so hab nun die ganze prozedur durch udn so sieht mein hijackthis-log nu aus:

Logfile of HijackThis v1.98.2
Scan saved at 23:25:57, on 06.09.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
D:\Winamp3\winampa.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
D:\D-Tools\daemon.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
D:\ImageMate CompactFlash USB\SandIcon.Exe
C:\WINDOWS\System32\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
D:\ZONEAL~1\zlclient.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\Programme\WinZip\WZQKPICK.EXE
D:\Programme\ICQ\ICQ.exe
C:\WINDOWS\System32\Ati2evxx.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Programme\AVPersonal\AVGUARD.EXE
F:\firefox\firefox.exe
D:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\MathiasGrimm\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.drogen-forum.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wdhfnjwsnlbwzcvzngh.com/...U/AtMO1Qv6Xop_GWQOo9_Sbq/jNi0EHXDLBLfApYy.cgi
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {12FF1352-E219-07B6-8720-675579DB2C1E} - C:\WINDOWS\System32\abbern.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Creative\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [WinampAgent] "D:\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [SandIcon] D:\ImageMate CompactFlash USB\SandIcon.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [KAVPersonal50] F:\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "F:\Spyware Doctor\spydoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D9A4E6-321A-4F80-AD73-06AF0F52E720}: NameServer = 217.237.150.33 194.25.2.129

 

[Warlord|]

Acryl:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.wdhfnjwsnlbwzcvzngh.com/...HXDLBLfApYy.cgi

?!

O2 - BHO: (no name) - {12FF1352-E219-07B6-8720-675579DB2C1E} - C:\WINDOWS\System32\abbern.dll (file missing)
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll (file missing)

Die beiden noch weg, dann sieht es einigermaßen sauber aus, wobei file missing natürlich nich schlecht im Sinn von Spyware/Viren ist.

Du solltest aber unbedingt SP2 installieren.

 

[4GT~DosX]

Sieht doch ganz ordentlich aus.
Check mal die Datei WUAUCLT.EXE ob sie 7072 bytes groß ist. Wenn ja dann dies hier: http://www.symantec.com/avcenter/venc/data/backdoor.clt.html , sonst ist alles von den Prozessen her i.o. soweit ich das sehe.

Startpage gesetzt oder hat die sich eingeschlichen?

 

[Acryl]

@warlorld: hab die 2, bzw. 3 auch noch rausgehaun.

das SP2 kann ich leider nicht installieren weil mein key "möglicherweise" ungültig ist. hab aber schon das security patch drüber gehaun =)

@dosx: war sie nich un die startpage hab ich gesetz :P

vielen dank nochmal an alle !

 

[EasyRider]

@[For]Hood Danke sehr! Das Fileplanet Ding ist mir auch aufgefallen, werds mal löschen, und die im System32 Ordner schaue ich mir auch nochmal an, da ich kein Sicherheitstool in der Richtung installiert habe.

 

[[For]Hood2]

Original geschrieben von PiCaSsO


zu 1: wie soll ich da "nachhaken"? hab keine lust was wichtiges zu löschen ...

zu 2: ich hab adaware laufen lassen, der hat beim IE was gefunden, und hats "gelöscht", danach hab ich IE gestartet und es kam sofort diese MSN startseite
der log danach sah exakt gleich aus wie der oben

EDIT: offenbar war schon der erste log einer kurz nachdem sich die startseite verändert hat, denn als ich gerade nochmal einen log erstellte, gab es nur 1x rundll32.exe
Running processes:

das könnte doch bedeuten dass eine der rundll32.exe aus dem oberen log für das verändern verantwortlich ist?

nein MSN ist die standardstartseite und wird von den Adwareremovern wieder eingesetzt. Ich meinte wenn sich deine Startseite von alleine nach about:blank ändert oder Du auf einmal eine andere Startseite hast die auf irgendwelchen Porno- oder dubiosen Suchseiten endet.
Natürlich könnte das der Hijacker gewesen sein, du solltest das in regelmäßigen abständen überprüfen.

Einen Rundll32 aufruf kannste bedenkenlos löschen, da du die Datei selber nicht löscht, sondern nur den "startbefehl". Rundll ist ein Systemdatei die bestimmte Schnittstellen zu Verfügung stellt. Selbst wenn Du die Datei löscht stellt WIndows sie beim nächsten start wiederher, im zweifel von der CD.
Auf den Nvidia aufruf kannste bedenkenlos killen, deine Graka funktioniert auch ohne.
Falls du zweifel hast kannst DU das auch über msconfig/autostart machen, da nimmst du dann einfach den haken weg. Stellst Du fest das etwas wichtiges fehlt/nichtgeht machst du ihn wieder rein....

Ja ja es heisst haken...

@Easyrider

Die unbekannten Sachen im System32 würden mir erheblich mehr Kopfschmerzen bereiten...

 

[[For]Hood2]

heute war ich bei einem Kunden, als ich den Taskmanager öffnete traf mich der Schlag. leider hab ich nur vom Adaware, spybot und Hijack screenshots und ein log file

Wenn ihr meint das ihr viel habt, dann schaut mal links unten

Logfile of HijackThis v1.97.7
Scan saved at 18:44:00, on 07.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\LAVASOFT\AD-AWA~1\AD-AWARE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\taskmgr.exe
C:\temp\HijackThis.exe
C:\WINDOWS\System32\rundll32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://go.targetsearch.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://targetsearch.info/left.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://go.targetsearch.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mabbp.dll/sp.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
F1 - win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe
O2 - BHO: (no name) - {2E9CAFF6-30C7-4208-8807-E79D4EC6F806} - C:\Program Files\Submit\submithook.dll
O2 - BHO: (no name) - {2FC683F4-4B40-99FD-E7FB-2D55A95BCDFF} - C:\WINDOWS\sysgs32.dll
O2 - BHO: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\MESSENGER\YCOMP.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [windw32.exe] C:\WINDOWS\system32\windw32.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\RunOnce: [mfcbb32.exe] C:\WINDOWS\system32\mfcbb32.exe
O4 - HKLM\..\RunOnce: [sysxr32.exe] C:\WINDOWS\sysxr32.exe
O4 - HKLM\..\RunOnce: [sdklz32.exe] C:\WINDOWS\system32\sdklz32.exe
O4 - HKLM\..\RunOnce: [ipcj.exe] C:\WINDOWS\system32\ipcj.exe
O4 - HKLM\..\RunOnce: [mfcoj.exe] C:\WINDOWS\mfcoj.exe
O4 - HKLM\..\RunOnce: [sysyl32.exe] C:\WINDOWS\system32\sysyl32.exe
O4 - HKLM\..\RunOnce: [ntqd32.exe] C:\WINDOWS\ntqd32.exe
O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\system32\appri32.exe
O4 - HKLM\..\RunOnce: [ntzs.exe] C:\WINDOWS\ntzs.exe
O4 - HKLM\..\RunOnce: [addae.exe] C:\WINDOWS\system32\addae.exe
O4 - HKLM\..\RunOnce: [atlrt.exe] C:\WINDOWS\atlrt.exe
O4 - HKLM\..\RunOnce: [ntus32.exe] C:\WINDOWS\ntus32.exe
O4 - HKLM\..\RunOnce: [javati32.exe] C:\WINDOWS\system32\javati32.exe
O4 - HKLM\..\RunOnce: [ieby.exe] C:\WINDOWS\system32\ieby.exe
O4 - HKLM\..\RunOnce: [msfd32.exe] C:\WINDOWS\system32\msfd32.exe
O4 - HKLM\..\RunOnce: [d3hw.exe] C:\WINDOWS\d3hw.exe
O4 - HKLM\..\RunOnce: [ieej.exe] C:\WINDOWS\system32\ieej.exe
O4 - HKLM\..\RunOnce: [iezq32.exe] C:\WINDOWS\system32\iezq32.exe
O4 - HKLM\..\RunOnce: [addqy.exe] C:\WINDOWS\system32\addqy.exe
O4 - HKLM\..\RunOnce: [creu.exe] C:\WINDOWS\system32\creu.exe
O4 - HKLM\..\RunOnce: [sysaq32.exe] C:\WINDOWS\system32\sysaq32.exe
O4 - HKLM\..\RunOnce: [addug32.exe] C:\WINDOWS\system32\addug32.exe
O4 - HKLM\..\RunOnce: [systx32.exe] C:\WINDOWS\system32\systx32.exe
O4 - HKLM\..\RunOnce: [apprf32.exe] C:\WINDOWS\system32\apprf32.exe
O4 - HKLM\..\RunOnce: [netfw32.exe] C:\WINDOWS\netfw32.exe
O4 - HKLM\..\RunOnce: [javasf32.exe] C:\WINDOWS\javasf32.exe
O4 - HKLM\..\RunOnce: [netrq.exe] C:\WINDOWS\system32\netrq.exe
O4 - HKLM\..\RunOnce: [d3hj.exe] C:\WINDOWS\d3hj.exe
O4 - HKLM\..\RunOnce: [ieaw32.exe] C:\WINDOWS\ieaw32.exe
O4 - HKLM\..\RunOnce: [netqm.exe] C:\WINDOWS\netqm.exe
O4 - HKLM\..\RunOnce: [ipmz32.exe] C:\WINDOWS\ipmz32.exe
O4 - HKLM\..\RunOnce: [mfcwu32.exe] C:\WINDOWS\system32\mfcwu32.exe
O4 - HKLM\..\RunOnce: [ipkt32.exe] C:\WINDOWS\ipkt32.exe
O4 - HKLM\..\RunOnce: [apipg32.exe] C:\WINDOWS\system32\apipg32.exe
O4 - HKLM\..\RunOnce: [iekd.exe] C:\WINDOWS\system32\iekd.exe
O4 - HKLM\..\RunOnce: [crmb.exe] C:\WINDOWS\system32\crmb.exe
O4 - HKLM\..\RunOnce: [netfm.exe] C:\WINDOWS\netfm.exe
O4 - HKLM\..\RunOnce: [winjv32.exe] C:\WINDOWS\system32\winjv32.exe
O4 - HKLM\..\RunOnce: [apiuj.exe] C:\WINDOWS\apiuj.exe
O4 - HKLM\..\RunOnce: [msqe.exe] C:\WINDOWS\system32\msqe.exe
O4 - HKLM\..\RunOnce: [javarw.exe] C:\WINDOWS\system32\javarw.exe
O4 - HKLM\..\RunOnce: [apiyo.exe] C:\WINDOWS\system32\apiyo.exe
O4 - HKLM\..\RunOnce: [netwb.exe] C:\WINDOWS\system32\netwb.exe
O4 - HKLM\..\RunOnce: [netqe32.exe] C:\WINDOWS\system32\netqe32.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O8 - Extra context menu item: Add A Page Note - C:\Programme\CommonName\Toolbar\createnote.htm
O8 - Extra context menu item: Bookmark This Page - C:\Programme\CommonName\Toolbar\createbookmark.htm
O8 - Extra context menu item: Email This Link - C:\Programme\CommonName\Toolbar\emaillink.htm
O8 - Extra context menu item: Search using CommonName - C:\Programme\CommonName\Toolbar\navigate.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav (HKLM)
O9 - Extra 'Tools' menuitem: Optionen für i-Nav (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: ConferenceRoom Java Client - http://irc.robgreen.com:8000/java/cr.cab
O16 - DPF: Win32 Classes -
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//saf/main.chm::/load.exe
O16 - DPF: {11010101-1001-1111-1000-110164567732} - ms-its:mhtml:file://C:MAIN.MHT!http://www.008i.com//x//f//10213//inst.chm::/f10213.exe
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O16 - DPF: {3F721FCD-6AEE-1FC2-8A09-315A59159C9F} - http://69.31.87.70/1/rdgDE208.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx

15 jähriges Mädchen, der Vater total sauer (er wuste das wird teuer*g*)
Naja Daten gesichert, neuinstalliert...

 

[Dr. Picasso]

als ich in msconfic->systemstart mal testweise das häkchen bei der rundll32.exe weggemacht hab
gab es nach dem neustart plötzlich 2 rundll32.exe, eine deaktiviert und die andre aktiviert
als ich die deaktivierte auch noch aktivierte, gabs nach dem neustart wieder nur eine rundll32.exe
also offenbar kann mein system net ohne diese überleben ...

meine startseite sollte about:blank sein, nur leider verändert sich diese öfters zur MSN-site
und zwar immer dann wenn adaware etwas beim IE gefunden und "gelöscht" hat

wie also krieg ich dieses dings da mal wirklich gelöscht?