dickes problem - wenig plan - hilFe..

faulT. · 03.01.2005, 23:28

also..ich hab irgendwie einen sehr verseuchten pc...weiß aber nich so recht wie ich ihn säubere...ich poste einfach mal meine HijackThis log ... und hoffe das irgendjemand von euch mir helfen kann.....danke schön.

Logfile of HijackThis v1.99.0
Scan saved at 22:38:54, on 03.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\antI\AVGUARD.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
D:\antI\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\SLEE401.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\avmclient\bluefritz!.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\svcnhost.exe
D:\antI\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Common\Bin\WinCinemaMgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
D:\anti spyor\SpySub.exe
D:\browser\firefox.exe
C:\Dokumente und Einstellungen\pennz\juck.exe
C:\Dokumente und Einstellungen\pennz\Desktop\antiviren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz!.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [svcnhost] svcnhost.exe
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows Media Player] msa.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\antI\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fkjswroz.exe
O4 - HKLM\..\RunServices: [Windows Media Player] msa.exe
O4 - HKLM\..\RunServices: [svcnhost] svcnhost.exe
O4 - HKLM\..\RunServices: [Microsoft upnp Update] msie.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [Windows Media Player] msa.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = D:\anti spyor\SpySub.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\ICQ\ICQ.exe
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26fee675...dxIE601_de.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom2.icq.oberon-media.com/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O21 - SSODL: mtklefa - {9B47FFD2-B444-4F4D-8586-04A5989BF7D4} - C:\WINDOWS\System32\finr32.dll
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\antI\AVGUARD.EXE
O23 - Service: AVM BT Connection Service - Unknown - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\antI\AVWUPSRV.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service - Unknown - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Steganos Live Encryption Engine (Version 401) [Service] - Unknown - C:\WINDOWS\System32\SLEE401.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Chris14 · 03.01.2005, 23:40

sieht mir wiedermal nach dem W32/Rbot-LQ wurm aus und dem wurm Korgo.Q ich würde escan im abgesicherten modus laufen lassen, des dürfte dann auch noch ein paar würmer oder viren finden die ich nicht identifizieren konnte. nebenbei sollten diese einträge gefixt werden:
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 59.dll
O4 - HKLM\..\Run: [svcnhost] svcnhost.exe
O4 - HKLM\..\Run: [Microsoft upnp Update] msie.exe
O4 - HKLM\..\Run: [Windows Media Player] msa.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\fkjswroz.exe
O21 - SSODL: mtklefa - {9B47FFD2-B444-4F4D-8586-04A5989BF7D4} - C:\WINDOWS\System32\finr32.dll

Cidre · 04.01.2005, 00:03

@ Chris14

Und was bringts?
Nichts, genau!

- eScann scannt nur noch, löscht also die Malware nicht mehr automatisch
- mit fixen alleine ist es auch nicht getan
- kein Hinweis auf die Gefährlichkeit der Würmer mit Backdoor Funktionalität
- kein Hinweis auf die offensichtlichen Schwachstellen seines Systems
- also reine Zeitverschwendung, da Re-Infektion schon vor der Tür steht

@ faulT.

Dein System ist, aufgrund deines Patchlevels Null und falsche Konfiguration, und bleibt nicht mehr vetrauenswürdig. Eine Systembereinigung mittels AV Scanner ist imho als sinnlos anzusehen. Daraus resultiert -> http://www.trojaner-board.de/showpos...28&postcount=2

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

faulT. · 04.01.2005, 13:04

also danke schön schon mal...aber ich habe weiterhin ein problem ...
also : ich hab mit e-scan im abgesicherten modus gescant und der hat auch ne menge gefunden, aber 2 dateien die er mir als verseucht anzeigt(die laut e-scan im windows/system32 liegen) , kann ich nich finden und daher auch nich löschen... die dateien heißen :

mssw32.exe
svcnhost.exe

hab schon mit spysubtract versucht (da gibts son datei shredderer) - der findet die auch, kann die aber trotzdem nicht löschen. jetzt ist also meine frage ob einer von euch ein programm kennt mit dem ich diese dateien finde und löschen kann.. danke

Cidre · 04.01.2005, 13:37

@ faulT.

Hast du meine Antwort diesbezüglich nicht gelesen oder verstanden?

faulT. · 04.01.2005, 13:44

doch hab ich....ich weiss nich ob ich sie 100% verstanden habe...aber so wie ich es verstanden habe ... soll ich windows neu installieren...und das will ich nich...weil dann wieder so viel verloren geht..aber mit firefox und so hab ich schon gemacht...

Cidre · 04.01.2005, 13:51

Na dann viel Spass, du wirst schon wissen was du tust.
http://www.heise.de/newsticker/meldung/51689

EOD

04.01.2005, 13:37	#5
Cidre Administrator, a.D.	dickes problem - wenig plan - hilFe.. @ faulT. Hast du meine Antwort diesbezüglich nicht gelesen oder verstanden? __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

04.01.2005, 13:51	#7
Cidre Administrator, a.D.	dickes problem - wenig plan - hilFe.. Na dann viel Spass, du wirst schon wissen was du tust. http://www.heise.de/newsticker/meldung/51689 EOD __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

dickes problem - wenig plan - hilFe..

Plagegeister aller Art und deren Bekämpfung: dickes problem - wenig plan - hilFe..