|
Log-Analyse und Auswertung: Eine Horde von Spy/Ad/Trojan/HiJackWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.03.2005, 12:28 | #1 |
| Eine Horde von Spy/Ad/Trojan/HiJack Hi Bisher hatte ich selten bis nie Porbleme mit Spyware,Adware,HiJacker und Trojanern da ich einerseits seit Jahren Opera benutze und andererseits immer einen aktuellen Virenscanner und zusätzlich zur HWFirewall noch ZoneAlarm installiert hatte. Da man seit gerauhmer Zeit ZoneAlarm jedoch nicht mehr benutzen kann (killt mir dauernd das System und verlangsamt meine iNet Verbindung auf 0 - 10% ihrer Leistung seit Version 5) surfe ich seit einige Wochen 'Softwarefirewalllos'. (bzw. ich hab die von TrendMicro die bei meinem Virenscanner dabei ist, aber meiner Meinung nach ist die ja eher ein schlechter Witz oder ich versteh einfach ihr 'simples' Bedienungsknozept nicht... - aufjedenfall musste ich sie drastisch runterregeln um noch normal surfen zu können, da sie ja nach ports und nicht nach Anwendungen geht und somit für jeden port ne extra Erlaubnis will im Hochsicherheitsmodus... hat man Proggies die viele Pots benötigen kann man sie nichtmal benutzen da diese Firewall eine maximalanzahl an erlaubten Ports hat ^^) Nun auf jedenfall hat vor einigen Tagen unangemeldet eine ganze Horde von bösem Code meine Türen eingerannt. (Nachdem ich einmal das System gestartet habe hatte ich einfach plötzlich unzählige Warnungen vom Virenscanner drauf...) Unter anderem von pccillin un oder AdAware erkannt werden: eZula ADW_ZESTYFIND.A ?_BISPY usw. (es sind wirklich viele, einige davon konnte ich soweit ich weiss schon beseitigen, hab mir aber nicht alle Namen aufgeschrieben..) Symptome: In meinem Opera werden regelmässig Websites mit Werbung geöffnet Auf meinem Desktop werden ab und zu Verknüpfungen zu angeblichen SpywareSacnnern erstellt. In meinem Porgramme Ordner werden ab und zu neue 'Programme' installiert Hin und wieder kommen Setup anfragen zu irgendwelcher Software, z.B. irgend ein Paint Programm Leider kann mein pcCillin diese Schädliinge meist erst genau dann erkennen und löschen, wenn sie zuschlagen - sie sind aber abgesichert und kommen immer wieder. Bei AdAware kann ich zwar regelmässig hunderte von EXEs und RegKey killen, sie kommen aber auch alle wieder. Mein Hijack this Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\ABIT\ABIT uGuru\uGuru.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\System32\MsPMSPSv.exe Der ist mir 'ungewohnt' vorgekommen.. lässt sich aber nicht beenden C:\Programme\Trillian\trillian.exe C:\Programme\Xfire\Xfire.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Teamspeak\TeamSpeak.exe C:\Programme\World of Warcraft\WoW.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\Internet Security\PCCMAIN.EXE C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pccreg.antivirus.com/11/PCC/1...01009&PID=CIB0 O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Kann ich jeweils killen, sind aber immer früher oder später wieder da... O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName Diese IMJP / PHIME Dateien sind meines Wissen nach harmlos und nur Teil der ostasiatischen Sprachuunterstützung die ich installiert habe O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WATCHPNP_Samsung] watchPnp.exe Samsung O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - Startup: Verknüpfung mit trillian.exe.lnk = C:\Programme\Trillian\trillian.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C38C1ED5-DBFF-42E5-AFBE-E76CD79F6D2F}: NameServer = 195.186.1.110,193.192.227.3 O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\k2800clmefqa0.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe Ab und zu kann ich im Taskmanager auch einige 'verdächtige' Proggies killen, die hin und wieder auftauchen. Zusätzlich habe ich den bösen Inhalt des Ordners "C:\WINDOWS\isrvs" so beseitigt, indem ich im abgesicherten Modus alles gelöscht habe, aber gleichnamige Files ohne Inhalt an deren Stelle platziert habe. (Wenn ich sie jeweils nur gelöscht habe, wurden sie immer wieder ersetzt beim nächste Start). Einige RegKeys die auf Dateien in diesem ordner verweisen haben, konnte ich auch nicht löschen und hab sie dann im abgesicherten Modus einfach mit anderem 'Inhalt' gefüllt.. seitdem wurde ihr alter Inhalt nicht mehr wiederhergestellt. Aber eben: Ich hab das Haus voller Schädlinge und komm ihnen irgendwie nicht bei, das sie sich gegenseitig immer wieder zu 'reinitialisieren' versuchen, wenn man sie an einer Stelle ausgeräuchert hat. Kann mir jemand helfen? mfg b00nish |
11.03.2005, 13:14 | #2 |
| Eine Horde von Spy/Ad/Trojan/HiJack Hallo b00nisch,
__________________http://frankn.com/html/mspmspsv_exe.php <-- google weiss fast alles. Führe bitte dies mal aus: 1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde), 2. starte nach dem Scan wieder in den normalen Modus dauert, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
11.03.2005, 13:23 | #3 |
| Eine Horde von Spy/Ad/Trojan/HiJack Danke erstmal
__________________Momentan leifert mir die eScan Download Page einen ASP Error. Ich muss aber jetzt dann so oder so los, werde es heute Abend oder Morgen ausprobieren. |
11.03.2005, 13:29 | #4 |
| Eine Horde von Spy/Ad/Trojan/HiJack 2 sachen: 1) die auswärtung hat ergeben, das : O1 - Hosts: 69.20.16.183 auto.search.msn.com Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden! O1 - Hosts: 69.20.16.183 search.netscape.com Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden! O1 - Hosts: 69.20.16.183 ieautosearch Kann ich jeweils killen, sind aber immer früher oder später wieder da... die alle killn... P.s hast du ne n virenscanner? ne oder? |
11.03.2005, 14:23 | #5 | ||
| Eine Horde von Spy/Ad/Trojan/HiJackZitat:
Nur wie gesagt: Die werden da jedesma wieder von selber riengeschrieben.. solange ich ned die Ursache killen kann nützt es mir nix wenn ich die kille.. Zitat:
|
11.03.2005, 19:27 | #6 |
| Eine Horde von Spy/Ad/Trojan/HiJack Hallo b00nish, hat es jetzt mit dem download geklappt? Bei mir funktioniert es. @hughefner vielen Dank für Deine automatische Auswertung. Du wirst staunen, dass ich das bereits sah. Darum ja der Escan. dartus |
12.03.2005, 02:55 | #7 |
| Eine Horde von Spy/Ad/Trojan/HiJack Hi Ich habe eScan durchlaufen lassen und sämtliche infizierten Files im abgesicherten Modus gelöscht und durch gleichnamige, schreibgeschützte Platzhalter ersetzt. zusätzlcih habe ich mit AdAware nochmal sämtliche Regkey entfernen lassen. Resultat: Nach dem Neustart findet AdAware/HijackThis nur noch folgendes 'wiederaufgetauchtes': 69.20.16.183 auto.search.msn.com 69.20.16.183 search.netscape.com 69.20.16.183 ieautosearch pcCillin AntiVirus findet gar nichts mehr. eScan findet noch einen "Trojan-Downloader.Win32.Small.ru" Leider konnte ich keine Infos zu dessen Beseitigung finden und seine EXE durch Platzhalter ersetzen geht nicht, da der Ordnername jedesmal anders heisst. Wie diese Trojan es schafft, sich so einzunisten, dass er nach jedem Neustart wieder da ist, weiss ich auch noch nicht. Es öfnnen sich leider ausserdem auch immernoch ungefragt WebSites mit Werbung... |
Themen zu Eine Horde von Spy/Ad/Trojan/HiJack |
abgesicherten modus, adobe, adware, alles gelöscht, desktop, dll, einstellungen, frage, helfen, hijack this, horde, internet, internet security, löschen, nvcpl.dll, nvidia, opera, programme, rundll, scan, security, spyware, surfen, system, taskmanager, teamspeak, trend micro, trojaner, verweise, werbung, windows, windows messenger, wurde ihr |