Nabend zusammen

Bin neu hier und hoffe ihr könnt mir helfen!!!

Ich hatte bis jetzt noch nie Probleme mit Viren, Trojanern oder Würmern, da ich eigentlich ganz gut geschützt bin...dachte ich (1 HW Firewall, 1 SW Firewall und F-Secure)
Jetzt hab ich mir aber was ziehmlich lästiges eingefangen, und zwar laut F-Secure "HackTool.Win32.Hidd.f"
Favoriten werden immer Dinge eingetragen, lästige PopUps kommen die ganze Zeit, und F-Secure meldet die ganze Zeit es habe was gefunden und umbenannt...wenn ich alles putze und shredder (auch schon im abgesicherten Modus ohne SysWiederherstellung gemacht) isses nach ein paar Minuten alles wieder da

Formatieren kommt eigentlich bei diesem Rechner absolut nicht in Frage, da sehr sehr viele sensieble Daten und Einstellungen drauf sind (Firmenrechner)!!!

Hoffe mal ihr könnt mir helfen....danke schonmal im Vorraus!!!

Markus aKa -=FREAK=-

Hallo,

bitte ein logfile mit diesem Programm erstellen:

www.Hijackthis.de

Inhalt hier ins Forum posten. dann sehen die experten hier weiter.

Hier mal eine Übersicht über die potentiellen Möglichkeiten dieses Schädlings:

http://www3.ca.com/securityadvisor/v....aspx?id=41372

Einem Privatrechner würde in diesem Fall sofort die Neuinstallation vorgeschlagen werden, wenn es ein Firmenrechenr ist, wäre die erste Frage, ob es einen Administrator gibt oder eine für die Sicherheit zuständige Firma? Die wären die ersten Ansprechpartner. Zunächst mal müsste man genauer wissen, wo der Schädling gefunden wurde und ein entsprechendes Hijackthis-Log wäre ebenfalls hilfreich. Ist dieser Schädling aktiv, gibt es nur die Alternative einer sauberen Neuinstallation oder Weitergabe des Rechners an einen entsprechenden Experten, der die Daten sichert und sich um den Schädling kümmert. Es handelt sich hier nicht nur um lästige Popups oder veränderte Startseiten, sondern um Programme, die Daten stehlen, Passworte auslesen und Systemmanipulationen vornehmen können, damit ist definitiv nicht zu spaßen, ganz besonders bei einem Firmenrechner.

MK, du hast einfach Recht, für Firmenrechnern sind wir nicht zuständig, da soll es Leute geben, die dafür bezahlt werden.!
LG, Charlie

moin,

Zitat:

Zitat von -=FREAK=-

da ich eigentlich ganz gut geschützt bin...dachte ich (1 HW Firewall, 1 SW Firewall und F-Secure)

warum denken die leute immer, wenn sie hinter mauern sitzen, daß sie dann sicher sind? meist öffnen sie doch selbst die tore und laden sich diese wichte ein. *kopfschüttel*

So, hier ist das LogFIle...hoffe mal es ist das richtige und ihr könnt was damit anfangen


Logfile of HijackThis v1.99.0
Scan saved at 18:02:01, on 11.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\bmwebcfg.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
c:\jetsuite\jsdaemon.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SecCopy\SecCopy.exe
C:\Palm\HOTSYNC.EXE
C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\smbdins.exe
C:\WINDOWS\System32\sethcd.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\Dokumente und Einstellungen\flentje\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://myfind4u.com/sp.htm
R3 - Default URLSearchHook is missing
O1 - Hosts: 213.69.64.249 TRSAP01
O1 - Hosts: 213.69.64.250 TRTEST01
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file)
O2 - BHO: Name - {D47BDA30-5BB9-40FE-973A-B007C32A4579} - C:\WINDOWS\System32\mswia.dll
O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - (no file)
O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe
O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll"
O4 - HKCU\..\Run: [Second Copy 2000] "C:\Programme\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE
O4 - Global Startup: Second Copy 2000 (2).lnk = C:\Programme\SecCopy\SecCopy.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107974641774
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tr-gruppe.de
O17 - HKLM\Software\..\Telephony: DomainName = tr-gruppe.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tr-gruppe.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tr-gruppe.de
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\System32\bmwebcfg.exe
O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\hpzipm12.exe
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\apiju32.exe (file missing)

Hi, lasse mal die folgenden Dateien online bei Jotti scannen und berichte jeweils das 10-zeilige Ergebnis:
C:\WINDOWS\System32\smbdins.exe
C:\WINDOWS\System32\sethcd.exe
C:\WINDOWS\System32\tsmsetup.exe
C:\WINDOWS\System32\bmwebcfg.exe
C:\WINDOWS\System32\mswia.dll
Außerdem hast du den da drauf, und der alleine rechtfertig das Neuaufsetzen....
cacatoa

Ich hoffe mal dass sind die 10 Zeilen die du meinstest
Dank euch übrigens allen mal so zwischendurch für eure Mühe


Service load: 0% 100%

File: smbdins.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir No viruses found (0.68 seconds taken)
Avast No viruses found (3.81 seconds taken)
AVG Antivirus No viruses found (0.79 seconds taken)
BitDefender No viruses found (0.36 seconds taken)
ClamAV No viruses found (0.35 seconds taken)
Dr.Web No viruses found (0.51 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Fortinet No viruses found (0.52 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.FindSpy.a (0.64 seconds taken)
mks_vir Trojan.Downloader.Sapox (0.22 seconds taken)
NOD32 No viruses found (0.44 seconds taken)
Norman Virus Control No viruses found (0.45 seconds taken)

_______________________________________________________________


Service load: 0% 100%

File: sethcd.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir TR/Spy.Jepan (0.22 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.84 seconds taken)
BitDefender No viruses found (0.39 seconds taken)
ClamAV No viruses found (0.48 seconds taken)
Dr.Web Trojan.Click.209 (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.23 seconds taken)
Fortinet W32/Adclicker.BW-tr (0.34 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.Msnagent.a (0.64 seconds taken)
mks_vir No viruses found (0.36 seconds taken)
NOD32 No viruses found (0.48 seconds taken)
Norman Virus Control No viruses found (0.98 seconds taken)

_________________________________________________________________


Service load: 0% 100%

File: tsmsetup.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir No viruses found (0.21 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.85 seconds taken)
BitDefender No viruses found (0.44 seconds taken)
ClamAV No viruses found (0.40 seconds taken)
Dr.Web No viruses found (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Fortinet No viruses found (0.52 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.FindSpy.a (0.63 seconds taken)
mks_vir No viruses found (0.22 seconds taken)
NOD32 No viruses found (0.42 seconds taken)
Norman Virus Control No viruses found (0.52 seconds taken)

________________________________________________________________

Service load: 0% 100%

File: bmwebcfg.exe
Status: OK
Packers detected: None

AntiVir No viruses found (1.27 seconds taken)
Avast No viruses found (4.80 seconds taken)
AVG Antivirus No viruses found (2.24 seconds taken)
BitDefender No viruses found (0.59 seconds taken)
ClamAV No viruses found (0.74 seconds taken)
Dr.Web No viruses found (1.16 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Fortinet No viruses found (0.90 seconds taken)
Kaspersky Anti-Virus No viruses found (1.27 seconds taken)
mks_vir No viruses found (0.50 seconds taken)
NOD32 No viruses found (0.89 seconds taken)
Norman Virus Control No viruses found (1.59 seconds taken)

________________________________________________________________

Service load: 0% 100%

File: mswia.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: None

AntiVir TR/DNSchanger.f2.A (0.21 seconds taken)
Avast No viruses found (1.51 seconds taken)
AVG Antivirus No viruses found (0.84 seconds taken)
BitDefender No viruses found (0.37 seconds taken)
ClamAV No viruses found (0.38 seconds taken)
Dr.Web No viruses found (0.56 seconds taken)
F-Prot Antivirus No viruses found (0.07 seconds taken)
Fortinet No viruses found (0.43 seconds taken)
Kaspersky Anti-Virus No viruses found (0.62 seconds taken)
mks_vir Trojan.Startpage (0.21 seconds taken)
NOD32 No viruses found (0.94 seconds taken)
Norman Virus Control No viruses found (0.46 seconds taken)

________________________________________________________________

Nach Lesen des ganzen threads schließe ich mich einfach nur den Ausführungen von MK an; will sagen; wenn es Dein Rechner ist; dann neu aufsetzen; wenn es ein Firmenrechner ist, dann neu aufsetzen lassen.
cacatoa

OK, also es ist ein privater Firmenrechner (kein Admin der zuständig wäre, aber trotzdem sehr wichtige und viele Sachen drauf!)
Will sagen format c: kommt ned in Frage....
Will euch ned nerven, aber wenn es IRGENDEINE Chance gibt, dass Ding zu retten, lasst es mich wissen....bitte!

Nur wegen "wichtigen" und "vielen" Sachen den Dreck einfach drauf lassen ist wohl nicht die richtige Lösung. Die Quittung wirst Du bald bekommen.
Sichere Deine Daten ordentlich und formatiere. Alles andere ist Blödsinn. Und allein deswegen wirst Du hier keine ander Hilfe finden. Ist so.
Sorry, cacatoa

Zitat:

Zitat von -=FREAK=-

drauf!)
Will sagen format c: kommt ned in Frage....

Hab da noch einen Tipp!

Trenn den Rechner vom Netz,werf ihn aus dem Fenster,und fahr mit dem Auto drüber,verschone bitte die anderen User im Netz mit deiner Virenschleuder!

Danke

...oder beauftrage einen Spezialisten, das wird dich dann aber einiges kosten

omg wer denkt das eine firewall und antiviren programme einen trojaner oder sonstiges finden hat wohl nur die "an eigener haut erfahren" strafe zu erwarten... das es immer noch so naive leute gibt. wie schon tausendmal gesagt:
neuinstall windows
passwörter sofort ändern (wohl eh schon zu spät)
und nie was mit geld mitm rechner machen