Hallo! Keine Ahnung, ob ich im richtigen Unterforum gelandet bin, aber ich versuche es hier einfach mal... ;o)

Also, unser PC spinnt seit einigen Tagen und nun habe ich endlich die Zeit gefunden, mich dem Prob mal zuzuwenden... Nachdem ich mit Spybot, AdAware und ClearProg scheinbar einiges in den Griff bekommen habe, habe ich mich nicht wirklich getraut per abgesicherten Modus im Hijack irgendwas wild anzuklicken... Nachher heißt es dann wieder, Frau hat den PC geschrotet, weil sie keine Ahnung hat... *fg*

Hier also mein Hijack-Log... Vielleicht kann mir ja jemand helfen? *lieb guck*





Logfile of HijackThis v1.98.2
Scan saved at 14:10:57, on 15.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Valve\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
E:\Antivir\AVPersonal\AVWUPSRV.EXE
C:\Programme\NMapWin\bin\nmapserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Sicherheit\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schwarzes-hannover.de/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Programme\Creative SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TB_setup] C:\DOKUME~1\Talon\LOKALE~1\Temp\tb_setup.exe /dcheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] E:\Valve\Steam\\Steam.exe -silent
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe



Danke schonmal!

Hallo

" Nachher heißt es dann wieder, Frau hat den PC geschrotet, weil sie keine Ahnung hat... *fg*"

Sowas gibt es bei uns gar nicht, es geht viel mehr auf die Nerven, wenn Frauen ständig mit einer "ich bin ja nur eine Frau, helft mir bitte!"-Attitüde kommen. Alles Quark.

Was genau heisst "spinnen" und was hast du bereits gelöscht?

Auf jeden Fall ist einige Adware zu erkennen.
Deaktiviere die Systemwiederherstellung und fixe im abgesicherten Modus:

http://www.systemwiederherstellung-d...indows-xp.html




R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll
O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe
O4 - HKLM\..\Run: [TB_setup] C:\DOKUME~1\Talon\LOKALE~1\Temp\tb_setup.exe /dcheck


Lösche die aufgeführten Dateien, starte wieder und aktiviere die Systemwiederherstellung. Weiterhin wäre die Installation von Service pack 2, regelmäßiges Updaten von Windows und IE sowie die Ersetzung (nicht Deinstallation!) desselben mit einem Alternativbrowser wie Opera oder firefox zu empfehlen.

Siehe auch:

http://www.mathematik.uni-marburg.de...ompromise.html


Ach ja, getright lieber mit dem adwarefreien Leechget oder NetTransport ersetzen.

Hallo! Vielen Dank für die Hilfe!

Nachdem nun allerlei Trojaner wie WToolsA.exe und TBPS.exe etc pp vom Rechner gebannt sind, komme ich nicht mehr ins Netz... Habe schon versucht, über LSPFix irgendwas auszurichten, aber funzt halt trotzdem nicht... Nun habe ich wohl doch den Rechner geschrotet und bin mit meinem Latein am Ende...

Irgendeinen Tipp?

...hmmm... Vielleicht ist meine Frage einfach zu 'wischiwaschi' formuliert... *duck*

Ich versuche es einfach nochmal...

Fakt ist, dass nach der Befreiungsaktion 'Sinth vs Trojaner' der Rechner nicht mehr auf das Netzwerk an sich dh auf den Zweitrechner und nicht mehr auf den Router zugreift... Wenn er angepingt wird, reagiert er nicht... Am Kabel liegt es nicht, haben wir getestet, an dem Karte auch nicht, haben eine andere getestet und die Ursprungskarte neuinstalliert, auch die Einstellungen haben wir überprüft... Der Rechner ist sozusagen abgeschnitten von seinem Umfeld... Mittlerweile sind uns die Ideen ausgegangen und ein Format c: schwelgt im Raume...

Leider habe ich die diversen Trojaner, die ich vor meinem Post hier durch AntiVir und Spybot gefunden habe nicht notiert... Einzig TBPS.exe ist mir im Gedächtnis geblieben, da ich mich besonders über dieses Prog im Taskmanager gewundert habe, das im Sekundentakt seinen Namen geändert hat und den Mauszeiger in den selben Intervallen in eine Sanduhr verwandelt hat... Durch googeln bin ich dann hierher gelangt und habe über diesen Thread http://www.trojaner-board.de/showthread.php?t=10100 angefangen, den Rechner mit Spybot zu durchforsten... Bevor ich mich dann an Hijack getraut habe, habe ich mein Log hier gepostet... Währenddessen habe ich Antivir laufen lassen, welches wiederum einen Trojaner gefunden hat... Danach habe ich die Anweisungen von MountainKing befolgt und die genannten Dateien im abgesicherten Modus gefixed... Die Programme finden jetzt auch nichts mehr, was in meinen Augen irgendwie seltsam ist... Leider kann ich momentan kein neues Log einfügen, aber wenn nötig kann ich das gerne nachholen...

Nur, warum kommt der Rechner nicht mehr ins Netzwerk bzw Internet - oder sind wir einfach zu schusselig, die richtigen Einstellungen zu finden?

.oO(Zumal ich laufend zu hören bekomme, dass ich die Finger vom geheiligten Rechner hätte lassen sollen, weil ich eh keine Ahnung hätte und es besser sei, Trojaner auf dem Rechner zu haben und dafür Internet als einen trojanerfreien Rechner ohne Internet...)

.oO(Zumal ich laufend zu hören bekomme, dass ich die Finger vom geheiligten Rechner hätte lassen sollen, weil ich eh keine Ahnung hätte und es besser sei, Trojaner auf dem Rechner zu haben und dafür Internet als einen trojanerfreien Rechner ohne Internet...)




Du bist auf dem richtigen Wege.
Meine Meinung, setze den Rechner neu auf. Das geht wesentlich schneller und ist sicherer. Die Kiste war, möglicherweise ist, verseucht. Passwörter musst du eh alle ändern etc. Mach eine korrekte Datensicherung und setz neu auf.
Anleitungen dazu findest du hier zuhauf.
Nur das du diese Meinung auch mal gehört hast.



Domino

Ja sicherlich hast Du recht - an sich würde ich bei meinem eigenen Rechner auch dazu tendieren zu sagen, ich habe mir die Suppe eingebrockt, ich löffele sie wieder aus, also System neu aufsetzen... Aber meine Männer hier sehen das wohl ein wenig anders...

Was mir beim Thema Datensicherung in den Kopf kommt - in wiefern könnten sich die Trojaner und alles andere, was vllt auf dem Rechner war in die vorhandenen Daten eingenistet haben - oder befallen sie 'nur' die Systemdateien?

@Sinthgunt
setze dein system neu auf, vorher daten sichern, diese auch überprüfen lassen
hier ein paar tips zum neu aufsetzen
http://www.trojaner-board.de/showpos...28&postcount=2

Was mir beim Thema Datensicherung in den Kopf kommt - in wiefern könnten sich die Trojaner und alles andere, was vllt auf dem Rechner war in die vorhandenen Daten eingenistet haben - oder befallen sie 'nur' die Systemdateien?

kann man ohne die trojaner zu kennen(ohne namen) im nach hinein so nicht beantworten.

chaosman

...also scheint es kaum eine andere Möglichkeit mehr zu geben, hm? *seufz*

Du kannst natürlich versuchen das Problem auch ohne Neuaufsetzen zu beheben. Das ist deine Entscheidung.

Sag mal, die von dir erwähnten "Männer im Hintergrund", warum möchten die das du mit einem Trojaner unterwegs bist ?


Domino

Moinz!

Keine Ahnung, vermutlich hätten sie einfach lieber ein funktionierendes Netzwerk bzw Internet? Aber mittlerweile haben sich die Wogen hier geglättet...

Mich wundert bei dem Ganzen halt ganz einfach, welcher der unerwünschten Gäste im System den Rechner so isoliert hat... Ich habe nochmal versucht zu rekapitulieren, was ich alles gelöscht habe per HijackThis:

WSup.exe
WToolsA.exe
WToolsB.dll
TBPS.exe
tb_setup.exe

WToolsS.exe wurde von AntiVir als TR/Dldr.Wintool.B identifiziert und gelöscht...

(Wie man sieht hatte ich vor meinem Eingangspost hier schon ein paar Sachen selbst gefunden...)

Spybot hatte ganz zu Anfang ziemlich viele Gründe zum Meckern - ist es vielleicht aufschlussreich, wenn ich diese Gründe auch nochmal aufliste?

Wir sind mittlerweile an dem Punkt, dass wir alle dafür sind, das System neu aufzusetzen... Doch ich muss gestehen, dass ich gerne verstehen wollen würde, woran unser Netzwerk-Prob liegt, damit mir das nicht noch einmal passiert... ...wenn es denn so einfach zu erkennen ist...? War ich zu voreilig mit dem fixen und löschen der Dateien - auch wenn ich mich vorher immer erst schlaugemacht habe, ob es nun Trojaner sind oder nicht? Oder war es einfach nur Pech?

Edit: Außerdem bleibt uns wohl eh keine Alternative zum Neuaufsetzen des Systems - weil wir keine Idee mehr haben, was genau das Prob des Rechners ist...

aber Domino, zzzzzt!
LG, Charlie

Hijackthis hat eine Backupfunktion, du kannst auch zunächst mal alles wieder zurücksetzen um zu sehen, ob es dann wieder geht. Die bei dir vorhandenen Schädlinge machen eigentlich noch keine Neuformatierung notwendig, allerdings wüsste ich nicht genau, was bei der Säuberungsaktion dein Netzproblem verursacht haben könnte.

Poste mal bitte den Inhalt der Hostdatei, zu finden unter windows\system32\drivers\etc

Ich weiss zwar nicht, was du eventuell vorher schon gelöscht hast, aber im Log sind bisher "nur" Browser-Hijacker/Adware zu sehen gewesen, die zwar lästig sind und entfernt gehören, aber einen "echten" Trojaner, der also auch eine Fernsteuerung deines Systems erlaubt, noch nicht.

Ich habe die BackUpFunktion von Hijack schon getestet, aber danach gab es immer noch das Netzwerk-Prob...

Welche Datei meinst Du genau unter ...\drivers\etc? Da gibt es mehrere...

Die hosts-Datei, hatte ich aber geschrieben. Mit Editor öffnen und Inhalt hierher kopieren.

Ja, Du hattest das geschrieben, aber irgendwie steht da nicht so viel drin? *duck*



# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost


...oder ist es doch die Falsche?



Edit: Und außer den oben von mir aufgelisteten Dateien habe ich nichts gelöscht...