da war der Wurm drinnen :-(

schneeflockerl

Hallo!

Ich bin neu hier und würde gerne die Meinung von euch hören. Vor ein paar Tagen hab ich mir – muß zugeben aus eigener Blödheit – den Wurm Gaobot eingefangen. Also hab ich mich in den verschiedenen Foren umgehört und die angegebenen Tips befolgt, also ad-aware, Virensoftware (im abgesicherten Modus), Hijack-This,…
Den Wurm dürfte ich letztendlich mit regedit erwischt haben (serviceconnect.exe?), zumindest laut hijack-this.

Mittlerweile kann weder Ad-Aware noch Norton etwas finden, allerdings bekomme ich bei der Hijack-this Auswertung - die auf den ersten Blick gar nicht schlecht aussieht - manchmal seltsame Einträge die mich etwas beunruhigen wie etwa dieser:
Kennen Sie die IP oder die Domäne '195.70.224.45 213.90.38.3' nicht, fixen.
Kommt nicht immer, aber doch von Zeit zu Zeit trotz fixens.

Solche Sachen gefallen mir auch nicht, zumal ich sie bei Symantec finde:
UsrPrmpt.exe SSC_UserPrompt Unbekannt
SSC_UserPrompt UsrPrmpt.exe Unbekannt
(O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe, Resultate)

oder, ebenfalls Symantec:
-- Resultate auf den Namen: "ccApp" --
Name Datei Status
ccApp ccApp.exe Gut
ccApp Böse
ccApp Böse
ccApp WMADZ.EXE Böse
ccApps services.exe Böse
ccApps winlogon.exe Böse
ccApp ccApp.exe Gut
ccApp (random filename) Böse
ccApps services.exe Böse
ccApp WMADZ.EXE Böse

-- Resultate auf die Datei: "ccApp.exe" --
Datei Name Status
ccApp.exe ccApp Gut
ccApp.exe ccApp Gut

(O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe")




Details
-- Resultate auf den Namen: "Synchronization Manager" --
Name Datei Status
Synchronization Manager mobsync.exe Gut
Microsoft Synchronization Manager fuckme.exe Böse
Microsoft Synchronization Manager bot.exe Böse
Microsoft Synchronization Manager asgard.exe Böse
Microsoft Synchronization Manager xXx.exe Böse
Microsoft Synchronization Manager WinLoginnn.exe Böse
Microsoft Synchronization Manager netscape.exe Böse
Microsoft Synchronization Manager winupdate.exe Böse
Microsoft Synchronization Manager svhost.exe Böse
Microsoft Synchronization Manager slhost.exe Böse
Synchronization Manager mobsync.exe Gut
Microsoft Synchronization Manager bot.exe Böse
Microsoft Synchronization Manager asgard.exe Böse
Microsoft Synchronization Manager xXx.exe Böse
Microsoft Synchronization Manager WinLoginnn.exe Böse
Microsoft Synchronization Manager netscape.exe Böse
Microsoft Synchronization Manager winupdate.exe Böse
Microsoft Synchronization Manager svhost.exe Böse
Microsoft Synchronization Manager slhost.exe Böse
 Resultate auf die Datei: "mobsync.exe" –
(O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon) kommt hartnäckig immer wieder!




Ist das nicht sowieso ein Trojaner?
Ctfmon.exe ctfmon32.exe Böse
(O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe)


Zudem bin ich jetzt zufällig draufgekommen dass der Internet Explorer keine gewöhnlichen Aufzählungszeichnung mehr anzeigt (verwende seit einiger Zeit Firefox normalerweise), sieht in etwa so aus wie umgedrehte engl. Pfundzeichen bzw. die der Unter-Aufzählungen wie das griechische Gammazeichen. Leider kann ich die nicht herzeigen, sobald ich die Aufzählung kopiere und wo einfüge verwandeln sie sich wieder in normale!

Da ich den Computer von meiner besseren Hälfte „vererbt“ bekommen habe und eigentlich gerade fertig geworden bin meine Sachen zu überspielen bin ich nicht so begeistert davon, aber ich fürchte mir bleibt nichts anderes übrig als neu aufzusetzen, wer weiß was der Wurm wirklich umgeschrieben hat?
Falls jemand eine Idee hat ob das eh normal ist oder nicht so schlimm, oder wie ich das wegbekomme bitte dringend melden!

Jetzt füg ich noch das Hijack-Protokoll ein, dann hab ich wirklich massig Platz gebraucht, bitte dringend Eure Meinungen zu dem Trauerfall, wie würdet ihr es machen?

Vielen Dank im Voraus und sorry wegen meines Monster-Postings!


Logfile of HijackThis v1.99.1
Scan saved at 15:43:34, on 19.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\Nikon\NkView5\NkvMon.exe
C:\Programme\RegCleaner\RegCleanr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView5\NkvMon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{959AA306-447B-48C0-8292-8D7121738E4F}: NameServer = 195.70.224.45 213.90.38.3
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe