über irgendwelche Hintertürchen konnte ich Hijack doch downloaden - und
das soll mein logfile sein - könnt ihr mir weiterhelfen??

Logfile of HijackThis v1.99.1
Scan saved at 22:07:12, on 24.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\lc.mus.exe
C:\figgaz.exe
C:\WINDOWS\System32\p3.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\MSN Apps\Updater\01.02.0000.2693\de\msnappau.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUMENTE UND EINSTELLUNGEN\NAME\DESKTOP\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: (no name) - {00000101-839C-4CD8-AC4E-1A11D017FDAC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Error Page Directory - {09A3CC2B-839C-4CD8-AC4E-1A11D017FDAC} - C:\PROGRA~1\ERRORP~1\ERRORP~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0000.2693\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0000.2693\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0000.2693\de\msntb.dll
O4 - HKLM\..\Run: [REGRUN_4] C:\lc.mus.exe
O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\figgaz.exe
O4 - HKLM\..\Run: [MSPluginSrvc] p3.exe
O4 - HKLM\..\RunServices: [Microsoft Update] Svhost.exe
O4 - HKLM\..\RunServices: [MSPluginSrvc] p3.exe
O4 - HKCU\..\Run: [MSPluginSrvc] p3.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {4989312D-58CF-11D5-A7D7-00E02911103E} (Interealty MultiSelect) - http://sef.mlxchange.com/Control/Mul...ctComboBox.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {6FD482A3-7B57-438B-B040-52CAA30147EE} (MLXchange Client Utils) - http://sef.mlxchange.com/Control/MLXClientUtils.cab
O16 - DPF: {83AB6E4D-CDD7-11D3-B5E7-00104B9AFF6E} (GeacRevw Control) - http://sef.mlxchange.com/Control/IRCSharc.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{648C6BDB-2D34-4519-BCCD-54618DA2797B}: NameServer = 217.237.151.161 217.237.151.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE

EDIT: gut hat sich wohl erledigt da cacatoa ihn gefunden hat

warum bleibst du nicht in einem alten thread ?

Hi, Karin_123
hab Dein Logfile nur kurz überflogen und als erstes das entdeckt und jede Menge anderen Schrott.
Da gibt´s nur eine Antwort:
System neu aufsetzen und zwar ganz genau nch der Anleitung im Link!
Sorry, cacatoa

@ net:
Wußte nicht, daß Du da dran warst.
cacatoa

..fein ... genau das was ich immer nur anderen passiert ...

vielen Dank Euch Beiden, dass Ihr Euch die Mühe gemacht habt.

@net -warum nicht im alten Strang -weil ich total froh war, dass ich das log
erwischt habe und der PC nicht abstürzte und ... und ..
verzeihs mit einfach

Und um das neu aufsetzen komme ich wirklich nicht rum ... reichen neue Passwörter nicht aus?

hi, wenn du das alles vom link gelesen hast, müsstest du selbst sagen, nein

Zitat:

Zitat von cacatoa

@ net:
Wußte nicht, daß Du da dran warst.
cacatoa

war da nicht dran, mir war nur gerade vorher das bzw. das mit Cidre passiert und so befürchtete ich hier das selbe

Zitat:

@net -warum nicht im alten Strang -weil ich total froh war, dass ich das log
erwischt habe und der PC nicht abstürzte und ... und ..
verzeihs mit einfach

kein Problem, verziehen ... war auch nicht böse gemeint da ich es früh genug gesehen hatte ... sollte nur als Hinweis für andere dienen

Zitat:

Und um das neu aufsetzen komme ich wirklich nicht rum ... reichen neue Passwörter nicht aus?

Hallo Karin_123,
hat sich ja wahrscheinlich bereits erledigt, ansonsten nochmal zu den "Möglichkeiten" die ein solcher RBOT hat.

Zitat:

Vielleicht sollte Sophos das nicht "Nebeneffekte" nennen

Quelle Sophos:
* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Reduziert die Systemsicherheit
* Verändert Kennwörter
* Speichert Tastenfolgen

W32/Rbot-PI ist ein IRC-Backdoortrojaner und ein Netzwerkwurm für die Windows-Plattfrom. Der Wurm kann sich auf remote Netzwerkfreigaben und auf Computer verbreiten, die für häufige Schwachstellen anfällig sind.

W32/Rbot-PI kann Befehle von einem remoten Angreifer erhalten, um Netzwerkfreigaben zu löschen, Tastenfolgen zu speichern, an DDoS-Attacken teilzunehmen, andere Computer nach Schwachstellen zu durchsuchen, Kennwörter zu stehlen, Registrierungsschlüssel für Computerspiele zu stehlen, Antiviren- und Firewall-Prozesse zu beenden, Zugriff auf Antiviren-Websites zu blockieren, lokale Administratorkonten zu erstellen und Video-Aufnahmen von Webcams zu erstellen, die an den Computer angeschlossen sind.

falls du dich also in einem Netzwerk aufgehalten hast, so informiere den zuständigen Admin. Falls du ein Privates Netzwerk hast, überprüfe zumindest die anderen Rechner.

Nochmal zum Problem:
Keiner "hier" kann dir sagen was der Rbot verändert hat, welche Auswirkungen er hat. Wenn ein AV ihn findet gut, ... heisst aber noch lange nicht, dass wenn ein bzw. alle AV´s/AT´s/ASPy melden dein Rechner sei clean, das er es dann auch so ist. Ich habe hier vor zwei Wochen nach einem Befall eine Festplatte aus einem Rechner ausgebaut (ein click und das System war dahin ... (ca. 100 (Be-)Funde) ... alle mir zur verfügung stehenden Programme drüberlaufen lassen ... clean ... HD in anderen Testrechner eingebaut (ohne Netz) zwei Tage später findet eines der Programme im NTFS-Stream wieder zwei neue Plagegeister (hat soetwas schon befürchtet, ansonsten hätte ich mir nicht die Mühe gemacht das so lange zu beobachten). Die ganze Sache soll zeigen, die Annahme, der Rechner sei clean war falsch ... und auf mehr als einen AV oder eine PFW wirst du dich ja nicht verlassen (trügerische Sicherheit oder auch Scheinsicherheit genannt). Die Ungewissheit bleibt und gleichzeitig das Schadenspotential für andere Rechner, ob im LAN oder WAN.

Zuletzt zum wichtigsten Punkt. Nach erfolgtem Neuaufsetzen des Systems ist es wirklich wichtig das System auch zukünftig zeitnah zu Patchen (Microsoft Update regelmässig besuchen oder im Sicherheitscenter auf automatisch zumindest auf automatische Benachrichtigung setzen) und ratsam ein Image oder einen Clone zu erstellen. Das wiederherstellen einen Image dauert hier bei uns zwischen 10 und 30 Min. (je nach Grösse) . Das sichern von Daten, neuaufsetzen eines Systems inklusiv patchen, einspielen und einrichten aller Programme kann unter Umständen einen ganzen Tag dauern (wie sagt man so schön, Zeit ist Geld und Geld haben wir nicht). Regelmässige Sicherungen der Daten verringert die Zeit die man für das Sichern nach einem Befall benötigt und verringert auch die Gefahr des Verlust von Daten (muss ja gar kein Virus sein, ein HD-Crash und du als Privat-Person wirst das wiederherstellen nicht bezahlen können/wollen). Wenn du jetzt wüsstest, dass du auf solch ein Image zurückgreifen kannst und dein Rechner nach einer Std. wieder vertrauenswürdig ist, hättest du die Frage ob man das System noch retten kann gar nicht erst gestellt.

So, vielleicht alles etwas OT aber man hofft ja immer man kann die Leute noch etwas sensibilisieren.

in diesem Sinne, viel Glück für die Zukunft

lg

net