Da isse:

Logfile of HijackThis v1.99.0
Scan saved at 18:57:22, on 13.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\WINDOWS\system32\NMSSvc.exe
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\eScan\trayicos.exe
C:\Dokumente und Einstellungen\Nimda\Desktop\Virenschutz\Viren & Trojaner R-Tools\FixEnvid.exe
C:\Programme\Mozilla1.7\mozilla.exe
C:\Dokumente und Einstellungen\Nimda\Desktop\Virenschutz\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [Steam] C:\Spiele\Steam\Steam.exe -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{C85F3090-A9E6-457F-AED1-30119531B37F}: NameServer = 194.25.2.129
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater - Unknown - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Intel(R) NMS - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe



Thx mfg Spaguzzi

P.S.: Macht weiter so! :aplaus:

@Spaguzzi
hast du ein problem, oder willst du nur dein logfile überprüfen lassen?
in dein logfile sehe ich nichts besonderes.
gebe HJT bitte einen eigenen ordner
chaosman

Hier mein Problem ( eMail an eScan )

Sehr geehrte Damen und Herrn,

seit geraumer Zeit haust ein neuer IRC-Wurm im Netz, durch Zufall bin ich auf diese Seite gestoßen:

editiert durch Admin ( über http://board.kryptocrew.de/ )

Das ist die Programmierung eines neuen Wurms, durch den mein Rechner gestern infiziert wurde... Ich habe mir die Programmierung angeschaut und Fakt ist, dass man den Wurm als Normalbenutzer nicht bemerkt. Der Wurm schaltet Antiviren-Scanner aus und hängt sich an jede EXE-Datei, die ausgeführt wird. Auch eScan ist gegen diesen Wurm nicht geschützt. Ich habe mir als Test mwav.exe heruntergeladen, welches 2 Viren gefunden hat, jedoch die eScan 2003 Engine und alle anderen AV´s, die ich zuvor installiert hatte, melden, dass der Computer frei von Viren ist.

Meine Virenscanner, die nach dem Befall funktionsuntüchtig wurden, sind:
clamwin Antivirus
eScan 2003
Avast Virus Cleaner
Stinger
eTrust

Zusätzlich hat "LSP-FIX - Winsock 2 repair utility" 27 Layered Service Provider (LSP) gefunden, welche vorher noch nicht vorhanden waren.

Am Verhalten des Rechners ist mir nichts aufgefallen, am Verhalten des eScan auch nicht, das ist ja das Schlimme! Entweder wurde ich über IRC (dieser Wurm befällt die mirc.ini) durch derzeitige Spam-bots infiziert oder über ICQ. Alles andere kann ich ausschließen, außer einen unbemerkten Hacker-Angriff. Mir ist es nur aufgefallen, weil unter C:/AVPDOS ein neues Verzeichnis angelegt wurde....
Ich bin hier Systemadministrator, sonst wäre mir das wahrscheinlich auch nicht aufgefallen..... Doch bevor viele Benutzer infiziert werden und sich so auch alle anderen Viren verbreiten, hoffe ich, dass dies für Sie nützlich ist.

Zur Info: Ich benutze: WinXP Pro mit SP2, Router (fast alle Prots sind geschlossen), eScan2003 (s.o.), Mozilla 1.7 und Thunderbird


Ich bin bereit Ihnen jederzeit Auskunft zu geben: Meine Tel.: ****/*****


Mit freundlichen Grüßen,

Namibiana Buchdepot (www.Namibiana.de)
Daniel Thoden


Antwort:

Hallo Hr Thoden

Vielen Dank für Ihre Nachricht die schon bei unserem Support in Bearbeitung
ist.

Wir werden uns bemühen dieses Problem so schnell wie möglich zu beheben.

Viele Grüsse,

IHR Microworld Team


--> Wozu braucht HJT einen eigenen Ordner?
Problem oben: Habe meine Virenscanner mit einem Virenpaket getestet (117 Viren) und es wurde keiner gefunden ! --> Nur nach einer Neuinstallation funktionieren die Virenscanner wieder ... und mein Windows-Update funktioniert nicht mehr über http://windowsupdate.microsoft.com/, sondern nur noch über Automatische Updates.

argh. das wusste ich doch. die jetzigen würmer waren erst der anfang. jetzt kommen die härteren, fieseren dinger die sich an jede exe-datei ranhängen und dann auchnoch backdoor qualität haben (siehe sockets de trois)
zum glück habe ich meinen computer ausreichend konfiguriert, so das keine trojaner oder sonstiges zeugs eindringen können, obwohl ich mir da eigentlich nicht mehr sicher bin.. hoffen wir dass diese neue art sich nicht zu sehr verbreitet.

(--> obwohl ich mir da eigentlich nicht mehr sicher bin) --> Ich auch nicht!


Ja, ich glaube es kommen härtere Zeiten auf die User zu. Auch bei meinen Windowskenntnissen kann ich da nicht mehr viel erreichen, aber ich bin soweit gekommen, dass die Fehler vom Anfang etwas behoben sind und ich mein System halbwegs normal benutzen kann...

Ich kämpfe bis zum Format:c!

Wenn ich etwas neues erfahre, poste ich.

@Spaguzzi
Wozu braucht HJT einen eigenen Ordner?
wegen der ups.....backups.
der ist ja wirklich übel.
ich denke am beste wartest du auf Microworld Team

sry
chaosman

THX cidre

Zitat:

Wozu braucht HJT einen eigenen Ordner?
wegen der updates.

chaosman meinte diesbezüglich eScan.
Damit die Backup Funktion von HJT greifen kann, braucht es eben ein eigenen Ordner.

Zitat:

Windows-Update funktioniert nicht mehr über http://windowsupdate.microsoft.com/,

"Funktioniert nicht" ist zu allgemein formuliert, eine detaillierte Bschreibung/Fehlermeldung wäre für uns hilfreicher.

Also:

unter Details steht:

<--
Zeile:73
Zeichen:3
Fehler: Automatisierungsserver kann Objekt nicht erstellen.
Code: 0
URL: http://windowsupdate.microsoft.com/
-->

Und mir ist aufgefallen (oh ja ich guck immer genau hin!): Vorhin ging das Update einmal nur anstatt:

http://v5.windowsupdate.microsoft.co...ult.aspx?ln=de
(wie auf allen anderen 4 Rechner bei mir)

war der Link:
http://v4.windowsupdate.microsoft.co...ult.aspx?ln=de


Frage: Fake-Seite?
Oder ist das die englische Update-Seite? (edit)

Mfg Spa

Zitat:

war der Link:
http://v4.windowsupdate.microsoft.c...ault.aspx?ln=de

Dies war der alte Link, den es aber nicht mehr gibt.

Zitat:

Fehler: Automatisierungsserver kann Objekt nicht erstellen.

Versuchs mal das -> http://www.derfisch.de/index.php?opt...7&Itemid=48#26

Habe mir grade noch ein paar Einträge mit Suchkriterien zu diesem Thema angeschaut und:

Bei: Start -> Ausführen -> eventvwr.msc

Unter Anwendung: 18 mal Warnung und 1 mal Fehler
Unter System: ca. 80-100 Warnungen und etwa 50-60 Fehler

^Soll ich das genauer beschreiben oder ist das nicht so wichtig?
>Es gibt doch auch den Befehl: Start -> Ausführen -> sfc /scannow
mal sehn, ob da in den Systemdateien etwas nicht stimmt....

Zitat:

Unter Anwendung: 18 mal Warnung und 1 mal Fehler
Unter System: ca. 80-100 Warnungen und etwa 50-60 Fehler

Hier findest du eine Beschreibung und Abhilfe zu den Fehlern -> http://www.eventid.net/

--> Systemdateien alle intakt, keine Fehler......


---------------------------------------------

Möge der Antivirus mit euch sein!

Habe http://www.derfisch.de/index.php?op...47&Itemid=48#26
durchgeführt, aber es hat leider nichts gebracht....
--> Windows-Update immer noch defekt.....

hallo Spaguzzi,

ich hab das absout selbe Problem:
Identische Fehlermeldung und kann keine Windoof Updates mehr ziehen.

hast du schon ne Lösung gefunden?

greetz

So, also ich empfehle: SpywareBlaster (bringt den IE wieder auf Vordermann)
Dann mit Adaware, Spybot und das System (am besten erstmal online ) auf Viren checken.
Nützlich sind auch Regtools (wenn man sich auskennt) und sonst für Unerfahrene z.B.: RegScrub oder RegCleaner.
Es gibt jetzt auch ein schönes Spyware-Removal-Tool (freeware) von Microsoft: http://www.microsoft.com/germany/con...yware/faq.mspx

(Und natürlich HiJackThis - posten und nochmal checken lassen )

Wenn alles nicht funktioniert, dann das System sichern, probieren WinXp zu reparieren, ansonsten ganz neuinstallieren (ist manchmal das sicherste (mit Formatierung), denn dann ist der Rechner sicher alles wieder los).

Greetz Spa


~Mögen die Antiviren mit euch sein~