Hallo,

könnte sich mal jemand mein Log ansehen,ich denke ich habe mir was gefangen!

Logfile of HijackThis v1.98.2
Scan saved at 14:54:40, on 28.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WTASKMON.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
C:\WINDOWS\System32\atievxx.exe
C:\Programme\Crazy Browser\Crazy Browser.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Toso\LOKALE~1\Temp\Rar$EX01.986\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WTASKMON] C:\WINDOWS\WTASKMON.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154card.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094149730573
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D091270C-E58B-4C7B-8511-8E8BE1F42443}: NameServer = 192.168.0.1



Danke!

Hallo,

das fixen:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

@ policeman0908

bitte überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\WTASKMON.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe

teile uns das Ergebnis der Überprüfung mit.

SD

@ SD

Nun bin ich etwas geschockt

Zu der Taskmonexe:

Service load: 0% 100%

File: WTASKMON.exe
Status: POSSIBLY INFECTED/MALWARE (Note: this file was only flagged as malware by heuristic detection(s). This might be a false positive. Therefore, results of this scan will not be stored in the database)
Packers detected: None

AntiVir Heuristic/Backdoor.VB6 (probable variant) (0.14 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.35 seconds taken)
ClamAV No viruses found (0.35 seconds taken)
Dr.Web BACKDOOR.Trojan (probable variant) (0.52 seconds taken)
F-Prot Antivirus No viruses found (0.12 seconds taken)
Kaspersky Anti-Virus No viruses found (0.60 seconds taken)
mks_vir No viruses found (0.21 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (0.41 seconds taken)
Norman Virus Control No viruses found (0.40 seconds taken)


Ich habe heute Mittag bereits escan nach Anleitung im abgesichertem Modus laufen lassen,System war zu 100% sauber,nichts gefunden!

Ach,die C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154card\Installer\WINXP\DTCARD11GMonitor.exe

ist OK

@ policeman0908

sende bitte diese Datei

C:\WINDOWS\WTASKMON.exe

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de und virus@hijackthis.de, mit Hinweis auf diesen Thread - zu Forschungszwecken und warte das Ergebnis ab.

SD

hi
escan arbeitet mit der vdf von --> (soweit ich mich erinnere) Kaspersky

@ SD vielen Dank schonmal!

Die Datei sieht auch nicht sonderlich erfreulich aus,eine Art Totenkopf?!

Habe sie an beide Adressen als rar mit PW gesendet!

Soll ich den Prozess beenden,kann ich das Teil löschen,oder soll ich lieber
abwarten?

Seltsam das Kaspersky und Trendmicro da nichts melden!

Servus Passat2002,

Du erinnerst Dich richtig. Habe ich etwas übersehen oder was meinst Du?

[edit] Warte das Ergebnis der Überprüfung ab @ policeman0908 ... entweder es handelt sich um neue Malware oder die Datei ist ok. [/edit]

SD

Hab mal unter Eigenschaften der Datei geschaut!

Original Dateiname :dabot.exe

Mal sehen was die Überprüfung der dabot.exe hergibt, siehe auch http://reviews.speedbit.com/ReadRevi...exe&FileSize=&

Also ich habe das Teil jetzt im abgesicherten Modus gefixed,sehr nett sah die Datei nicht aus,und ich denke die hatte da auch nix zu suchen!

Zur Sicherheit werde ich diese Woche noch mein System neu aufsetzen,ist mir doch zu gewagt!

Hallo,

@SD,

ich denke mal,dass die email von Dir kam?!

Falls nicht,danke trotzdem nochmal,die Datei WTASKMON.exe ist also
sauber,habe sie auch wieder dort plaziert,ich denke ich kann nun
auf das neu Aufsetzen verzichten!


Danke nochmal an alle für die Hilfe!Daumen hoch!

@ policeman0908,

von mir kam die email nicht, da ich keine Dateien auf Viren untersuche .. aber ich reiche Dein Dankeschön hiermit weiter ..;-)

Und für Dich noch ein bißchen Lesestoff:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- Entfernung von Schädlingen und Kompromittierung unvermeidbar?
- faq.underflow.de
- Hijacker-Entfernung

SD

Hallo nochmal!

Wegen der WTASKMON.exe

Hierbei handelt es sich doch nicht wie angenommen,und mir per Mail berichtet wurde um einen Windows Dienst,sondern ist ein Backdoor!

Nun heisst es doch platt machen!