Hi, vielleicht könnt ihr mir ja helfen... ich habe neuerdings ständig irgendwelche Progs auf dem Pc die alles bei mir verändern, ich habe schon diverse Scanner Progs laufen lassen, zb. Ad Watch, Tojan hunter, Antivir auch cw Shredder und noch einige andere, diese finden zwar auch diverse Einträge Progs usw. Cwsshredder entfernt ständig einträge die nicht hingehören aber sie kommen ständig wieder und ich weiss langsam nicht mehr was ich machen soll, irgendwo müssen die doch herkommen. Ich weiss nun auch nicht haargenau welche Progs bei mir laufen die für den Befall zuständig sind, darum habe ich jetzt HijackThis laufen lassen und habe das Protokoll hier jetzt mal eingefügt vielleicht könnte mir jemand sagen welche Programme nicht zum Standard gehören bzw. welche zu Viren/Trojanern gehören können.

</font><blockquote>Zitat:</font><hr />
Logfile of HijackThis v1.97.7
Scan saved at 02:32:52, on 29.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trillian\trillian.exe
C:\util\totalcmd\TOTALCMD.EXE
C:\Programme\TrojanHunter 3.8\TrojanHunter.exe
C:\WINDOWS\System32\taskmgr.exe
C:\down\HijackThis.exe
C:\Firefox-de-DE\Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://bahxox.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://riviera.cc (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = ,
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = ,
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = ,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ad-watch] "C:\Programme\Lavasoft\Ad-aware 6\Ad-watch.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [THGuard] "C:\Programme\TrojanHunter 3.8\THGuard.exe"
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - Startup: Verknüpfung mit trillian.lnk = C:\Programme\Trillian\trillian.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open Selected URL - C:\Windows\openselectedurl.htm
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O14 - IERESET.INF: START_PAGE_URL=about:blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE1F035A-773F-4388-AB72-A34347DF4C04}: NameServer = 194.25.2.129
O18 - Protocol hijack: about - {53B95211-7D77-11D2-9F80-00104B107C96}
</font>[/QUOTE]Vor allem kann ich mit den meisten Einträgen nichts anfangen die unter Windows/System laufen, einen grossteil davon kann ich einordnen aber was ist mit diesen csrss.exe, winlogon.exe, services.exe, lsass.exe svchost.exe, spoolsv.exe Einträgen, gehören die zum System oder wie ??

Vielleicht kann mir ja hoffentlich jemand weiterhelfen, Big Thx schon mal vorab....

Tschau...
Kobi

Hallo Kobi,
willkommen an Board!

Vorweg: Bevor du irgendwelche der in meinem Posting genannten Maßnahmen ergreifst, lies es bitte erstmal bis zu Ende durch!

</font><blockquote>Zitat:</font><hr />Original erstellt von kobi:
[...]Cwsshredder entfernt ständig einträge die nicht hingehören aber sie kommen ständig wieder und ich weiss langsam nicht mehr was ich machen soll, irgendwo müssen die doch herkommen.</font>[/QUOTE]Sie kommen über den IE bei einem nicht auf dem neuesten Patch-Stand befindlichen System. Daher die Empfehlungen:

1.) System auf den neuesten Stand bringen:
-&gt; http://windowsupdate.microsoft.com (mit dem IE ansurfen)
2.) Browser wechseln (für das tägliche Surfen). Zum Beispiel nur noch jenen nutzen, den du ja bereits installiert hast: C:\Firefox-de-DE\Firefox\firefox.exe

Ist also schon mal teilweise ein guter Weg.


Setze in HijackThis nun Haken neben den folgenden Einträgen und wähle anschl. "Fix checked":

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h*tp://bahxox.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://riviera.cc (obfuscated)

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe

O8 - Extra context menu item: Open Selected URL - C:\Windows\openselectedurl.htm

Zu dem folgenden Eintrag nur eine Anmerkung:
C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

Incredi Mail ist ein unsicherer Mailclient. Du solltest dessen Nutzung überdenken. Scripte in Mails sind grundsätzlich nicht empfehlenswert.

Bevor du nun eine der genannten Maßnahmen ergreifst, gehe bitte in &gt;Systemsteuerung &gt;Ordneroptionen. Stelle sicher, dass hier die Anzeige aller Dateien (auch versteckter und Systemdateien) aktiviert ist. Suche sodann in C:\windows\ nach rundll32.exe und berichte, inwiefern du fündig wirst. Lösche aber nicht voreilig eine Datei - nur prüfen bitte (und das bitte vor dem Fixen mit HijackThis). Ggf. wäre nämlich die Analyse einer solche Malwaredatei anzuraten, falls sie bis dato unbekannt ist. Sende gefundene Dateien bitte zur Prüfung an virus@rokop-security.de. Danke!

Hallo,
erstmal Danke für deine schnelle Antwort [img]graemlins/party.gif[/img]

Ich habe jetzt mal die Schritte die du aufgeführt hast der Reihe nach abgearbeitet, bis auf das IE Update, da bin ich noch nicht zu gekommen, aber ich benutze den Ie nun schon seit 2 Wochen nicht mehr und habe auch nicht vor ihn noch einmal zu benutzen, muss ich trotzdem die Updates machen ? Oder kann man den IE evtl komplett vom System entfernen?

Alle anderen Punkte habe ich jetzt mit Hijacker gefixt und IncredMail habe ich auch deinstalliert, das war eigentlich nur zum Testen drauf, aber da ich Outlook benutzt ist das ja auch nicht besser, ich hatte schon mal angefangen den Mozilla Clienten zu installieren, aber da er leider nicht meine Konten aus Outlook übernommen hat habe ich das erst mal gelassen :-( , muss ich mich aber doch noch mal mit auseinandersetzen.

Die rundll32.exe habe ich auch gefunden, nicht gelöscht, und werde sie gleich mal an die Adresse senden, mal sehen was dabei rauskommt.
Allerdings gibt es die Rundll32.exe dreimal im System, einmal im /System32, einmal im /system32/dllcache und direkt einmal in /windows.
Die beiden Dateien im /system32 Verzeichnis haben allerdings ein Datum vom Januar 2001 und die im /windows Ordner ist vom Januar 2004 und ist auch 40960kb gross statt 32256kb wie die anderen beiden.
Also denke ich mal ich verschicke die neuste.

Mal sehen wie das jetzt so weitergeht und ob die ganze Sache jetzt aufhört. Ich werde jetzt noch das MS Java deinstallieren wie im HiJacker beschrieben und dann Java Sun draufspielen, ich denke das sollte besser sein.

Tschau..
Kobi

ein kurzer Status Bericht [img]graemlins/daumenhoch.gif[/img]

</font><blockquote>Zitat:</font><hr />
---------------------------------------------------
rundll32.exe
Hallo, dies ist ein Trojan.Win32.StartPage.aq, also vermutlich eine Cool Web Search Komponente. Du kannst die betreffende Datei und den Run Eintrag bedenkenlos löschen, so etwas gehört nicht auf den Rechner.
---------------------------------------------------</font>[/QUOTE]Übrigens scheint jetzt alles sauber zu sein, Adwatch und Antivir haben auf jeden Fall nichts mehr gemeldet.