Hallo erstmal,

leider habe ich gestern die Homepage serial.ws besucht und nur durch das Öffnen der Seite, war mein System verseucht. Habe zwar die Routerfirewall und Kaspersky Anti Virus immer aktiviert, doch anscheinend, hat dies nicht ausgereicht. Der IE wird nach der Säuberung nun endgültig ausrangiert und gegen Firefox getauscht.

Würde gerne wissen, was die besch. Seite serials.ws oder serialz.ws alles installiert??


Hier mal mein HijackThis log file:


Logfile of HijackThis v1.99.0
Scan saved at 06:56:50, on 27.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\cFosSpeed\spd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Gery\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{87DEB0AC-F5A9-49C4-AAA3-ECEFEFD5E085}: NameServer = 192.168.1.1
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: cFosSpeed System Service - cFos Software GmbH - C:\Programme\cFosSpeed\spd.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe



Sieht eigentlich gut aus, kann zumindest nichts schlechtes erkennen.
Dafür habe ich in Windows bzw. Windows/system32 lauter seltsame Einträge gefunden:


C:\WINDOWS\system32\Atmdeuxx.GID
C:\WINDOWS\system32\settingsbkup.sfm
C:\WINDOWS\system32\settings.sfm
C:\WINDOWS\system32\DVCStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\DVCState-{00000001-00000000-00000008-00001102-00000004-20021102}.dat
C:\WINDOWS\system32\BMXStateBkp-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\BMXBkpCtrlState-{00000001-00000000-00000008-00001102-00000004-20021102}.rfx
C:\WINDOWS\system32\wpa.dbl
C:\WINDOWS\system32\FNTCACHE.DAT
C:\WINDOWS\system32\PerfStringBackup.INI
C:\WINDOWS\system32\perfh009.dat
C:\WINDOWS\system32\perfh007.dat
C:\WINDOWS\system32\perfc009.dat
C:\WINDOWS\system32\perfc007.dat
C:\WINDOWS\system32\o
C:\WINDOWS\system32\TFTP2020
C:\WINDOWS\system32\TFTP1312
C:\WINDOWS\system32\svcnhost.exe
C:\WINDOWS\system32\$winnt$.inf
C:\WINDOWS\system32\wmpscheme.xml
C:\WINDOWS\system32\nscompat.tlb
C:\WINDOWS\system32\amcompat.tlb
C:\WINDOWS\system32\WindowsLogon.manifest
C:\WINDOWS\system32\logonui.exe.manifest
C:\WINDOWS\system32\wuaucpl.cpl.manifest
C:\WINDOWS\system32\sapi.cpl.manifest
C:\WINDOWS\system32\nwc.cpl.manifest
C:\WINDOWS\system32\ncpa.cpl.manifest
C:\WINDOWS\system32\cdplayer.exe.manifest
C:\WINDOWS\system32\emptyregdb.dat



Außerdem bin ich mir bei folgendem nicht sicher, ob das zu ICQ gehört oder auch gelöscht gehört:

C:\PROGRA~1\ICQ\AOD\Aod.exe
C:\WINDOWS\aod
C:\WINDOWS\aod\aodcut.dll
C:\WINDOWS\aod\aodres_en_us.dll
C:\WINDOWS\aod\aodshext.dll
C:\WINDOWS\aod\AolOnDesktop.exe
C:\WINDOWS\aod\icon1.ico
C:\WINDOWS\aod\icon2.ico
C:\WINDOWS\aod\locales.ini
C:\WINDOWS\aod\AOLOND~1.EXE


Zusätzlich habe ich noch folgenden Ordner gefunden, den ich nicht zuordnen kann:

C:\Dokumente und Einstellungen\All Users\DRM\drmv2.lic
C:\Dokumente und Einstellungen\All Users\DRM\drmv2.sst
C:\Dokumente und Einstellungen\All Users\DRM\drmv2.lic
C:\Dokumente und Einstellungen\All Users\DRM\drmv2.sst


Desweiteren habe ich noch Ad-Aware SE Professional, CWShredder, Spybot - Search & Destroy drüberlaufen lassen und die gefundenen Dinge gelöscht!

Temporäre Internet files, cookies, temp Ordner habe ich ach gelöscht.

Zu guter Letzt habe ich noch den regcleaner 4.3 (kompl. registry säubern) ausgeführt und dort stehen auch nohein paar komisce Sachen drinnen:

-Backweb
-C07ft5y
-Gemplus Cryptography
-lameme
-Pinnacle Systems Pixie (hab gar kein Pinncle drauf??)
-Schlumberger
-OEUpdate
-Sevinst


So das war's mal fürs erste. Ich hoffe ihr könnt mir weiterhelfen bzw. noch tips geben was ich noch tun könnte!

Werde mal die ganzen tools und den Anti Virus im abgesicherten Modus auch noch ausführen!

Vielen Dank schon mal!!

@P-s-y-c
lade dir mal escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

Hallo,

Danke für die Antwort.

Habe mir die Anleitung von escan gerade durchgelesen. Ganz unten steht, wenn man den Kaspersky Anti Virus hat, dann braucht man nicht mit escan zu scannen.

Ich nutzte den Kaspersky Anti Virus und lade seit je her die erweiterten Updates.
Habe ihn auch mal im abgesicherten Modus ausgeführt, doch es wir nichts mehr gefunden.

Kann ich sonst noch etwas tun? Vorallem die Einträge im System32 Ordner, die ich gepostet habe, gefallen mir gar nicht.

Vielleicht kann mir ja dazu jemand was sagen, dann lösch ich die manuell!

Hi, unter Anderem hast du den da drauf. Insgesamt bösartigst verseucht. Nimm den Rechner vom Netz und formatiere neu. Beachte alle Tipps in dem Link.
cacatoa

Vielen Dank für die Antwort!

habe mal nach "Manifest" auf meinem Rechner gesucht und in der Tat steht der an einigen stellen drinnen. Unter anderem hat sich er an meinen DSL Treiber u.s.w... gehängt.

Frage mich nur, warum der Kasperskay den nicht abgewehrt hat und auch sonst kein tool ihn erkannt hat.

Kann ich den nicht manuell löschen? Möchte ein neu aufsetzen des Rechners unbedingt vermeiden.
Wenn ich alles unter manifest lösche, auch in der Registry reicht das nicht aus?
Ggf. muss ich halt die Programme, wo er sich auch rangehängt hat nochmal neu installieren.

So sieht das ganze aus:


Was mich allerdings sehr beunruigt, dass er sich an meinen DSL Treiber rangehängt hat. Habe in der Zeit viel online gemacht, auch Bankgeschäfte getätigt und Router, VOIP Boxen konfiguriert...
Nicht dass er sämtliche login und Passwörter jetzt hat?????

Verdammt warum hab ich so ein Pech trotzt Virenschutz und Firewall nur durch das öffnen einer Homepage mir gleich sowas einzufangen!

Hoffentlich bekomm ich den weg...

@ P-s-y-c,

Du schreibst: "...warum hab ich so ein Pech trotzt Virenschutz und Firewall..."

Zwei Gründe kann ich Dir schon mal nennen.

1.
Platform: Windows XP SP1 (WinNT 5.01.2600)

2.
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Das ist auch nicht schlecht: http://www.ntsvcfg.de/

Organic

Hi,
wenn du gelesen hast, was der alles kann (und es ist ja nicht das einizige, was bei dir im Argen liegt), wieso überlegst du überhaupt noch?
cacatoa

"...wieso überlegst du überhaupt noch?"

Meinst Du jetzt mich?

Organic

Dich doch nicht!
cacatoa

Hallo Zusammen,

IMHO Don't feed this troll!
Lest das: Mein System ist verseucht, Hijackthis findet aber nichts?

Hi, Rene-Gad!
Thx, Organic hat´s auch bemerkt und quergelesen: Hier.
cacatoa

@cacatoa

Zitat:

Thx, Organic hat´s auch bemerkt und quergelesen

Ich bin ein alter Hase .

Zitat:

Ich bin ein alter Hase .

...und ich glaub halt noch immer an das Gute im Menschen...
cacatoa

Zitat:

Zitat von Rene-gad

Hallo Zusammen,

IMHO Don't feed this troll!
Lest das: Mein System ist verseucht, Hijackthis findet aber nichts?

Ist es so schlimm das gleiche in zwei foren zu posten? wusste ich nicht... Sorry!

Hatte gestern keine Zeit mir, mich um das Problem zu kümmern, doch heute habe ich mir die links durchgelesen. Klingt ja nicht sehr positiv, doch wie ich eigentlich herausfinden, ob ich überhaupt so schlimme backdoor Trojaner u.s.w... drauf habe?

Testweise habe ich eine andere Platte neu aufgesetzt und verglichen und die hat auch diese "Manifest" Dateien. Im Windows/system32 ordner und den Ordner windows/winsxs
(war mit der zuvor nicht am Netz!)

@cacatoa
Was genau ist auf meinem System alles befallen.


Gibt es keine andere Lösung als die ganz Kiste platt zu machen? Ich habe nur ne 160GB Platte und keine Möglichkeit die ganzen Daten zu sichern.
Weil es stand ja dran, man soll die komplette Platte platt machen und nicht nur das C:\ Laufwerk.

Dienste habe ich soweit alle schon deaktiviert gehabt und XP Antispy war ja auch drauf. Zudem ist das System Update mässig auf dem neuesten Stand gewesen!

Ich muss doch bei den Prozessen o.ä. irgendw sehen können was schädliches noch mitläuft?

@P-s-y-c
Wenn du schon HJT-Log erstellen und speichern konntest, kannst du ihn auch automatisch auswerten lassen www.hijackthis.de. Dann poste bitte nur die Einträge, die mir einem gelben Fragezeichen oder mit einem roten Ausrufezeichen vermerkt werden. Mittlerweile kannst du mit der Board-Suche schon einige Antworten bekommen.