| |
| |||||||
Log-Analyse und Auswertung: Eine Horde von Spy/Ad/Trojan/HiJackWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
11.03.2005, 12:28
| #1 |
| |  Eine Horde von Spy/Ad/Trojan/HiJack Hi Bisher hatte ich selten bis nie Porbleme mit Spyware,Adware,HiJacker und Trojanern da ich einerseits seit Jahren Opera benutze und andererseits immer einen aktuellen Virenscanner und zusätzlich zur HWFirewall noch ZoneAlarm installiert hatte. Da man seit gerauhmer Zeit ZoneAlarm jedoch nicht mehr benutzen kann (killt mir dauernd das System und verlangsamt meine iNet Verbindung auf 0 - 10% ihrer Leistung seit Version 5) surfe ich seit einige Wochen 'Softwarefirewalllos'. (bzw. ich hab die von TrendMicro die bei meinem Virenscanner dabei ist, aber meiner Meinung nach ist die ja eher ein schlechter Witz oder ich versteh einfach ihr 'simples' Bedienungsknozept nicht... - aufjedenfall musste ich sie drastisch runterregeln um noch normal surfen zu können, da sie ja nach ports und nicht nach Anwendungen geht und somit für jeden port ne extra Erlaubnis will im Hochsicherheitsmodus... hat man Proggies die viele Pots benötigen kann man sie nichtmal benutzen da diese Firewall eine maximalanzahl an erlaubten Ports hat ^^) Nun auf jedenfall hat vor einigen Tagen unangemeldet eine ganze Horde von bösem Code meine Türen eingerannt. (Nachdem ich einmal das System gestartet habe hatte ich einfach plötzlich unzählige Warnungen vom Virenscanner drauf...) Unter anderem von pccillin un oder AdAware erkannt werden: eZula ADW_ZESTYFIND.A ?_BISPY usw. (es sind wirklich viele, einige davon konnte ich soweit ich weiss schon beseitigen, hab mir aber nicht alle Namen aufgeschrieben..) Symptome: In meinem Opera werden regelmässig Websites mit Werbung geöffnet Auf meinem Desktop werden ab und zu Verknüpfungen zu angeblichen SpywareSacnnern erstellt. In meinem Porgramme Ordner werden ab und zu neue 'Programme' installiert  Hin und wieder kommen Setup anfragen zu irgendwelcher Software, z.B. irgend ein Paint Programm Leider kann mein pcCillin diese Schädliinge meist erst genau dann erkennen und löschen, wenn sie zuschlagen - sie sind aber abgesichert und kommen immer wieder. Bei AdAware kann ich zwar regelmässig hunderte von EXEs und RegKey killen, sie kommen aber auch alle wieder. Mein Hijack this Log: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\ABIT\ABIT uGuru\uGuru.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Trend Micro\Internet Security\pccguide.exe C:\Programme\Trend Micro\Internet Security\PCClient.exe C:\Programme\Trend Micro\Internet Security\TMOAgent.exe C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\CTSvcCDA.EXE C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe C:\Programme\Trend Micro\Internet Security\tmproxy.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE C:\WINDOWS\System32\MsPMSPSv.exe Der ist mir 'ungewohnt' vorgekommen.. lässt sich aber nicht beenden C:\Programme\Trillian\trillian.exe C:\Programme\Xfire\Xfire.exe C:\Programme\Trend Micro\Internet Security\PccPfw.exe C:\Programme\Teamspeak\TeamSpeak.exe C:\Programme\World of Warcraft\WoW.exe C:\Programme\Opera\opera.exe C:\Programme\Trend Micro\Internet Security\PCCMAIN.EXE C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pccreg.antivirus.com/11/PCC/1...01009&PID=CIB0 O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Kann ich jeweils killen, sind aber immer früher oder später wieder da... O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName Diese IMJP / PHIME Dateien sind meines Wissen nach harmlos und nur Teil der ostasiatischen Sprachuunterstützung die ich installiert habe O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe" O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe" O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WATCHPNP_Samsung] watchPnp.exe Samsung O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE O4 - Startup: Verknüpfung mit trillian.exe.lnk = C:\Programme\Trillian\trillian.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{C38C1ED5-DBFF-42E5-AFBE-E76CD79F6D2F}: NameServer = 195.186.1.110,193.192.227.3 O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\k2800clmefqa0.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe Ab und zu kann ich im Taskmanager auch einige 'verdächtige' Proggies killen, die hin und wieder auftauchen. Zusätzlich habe ich den bösen Inhalt des Ordners "C:\WINDOWS\isrvs" so beseitigt, indem ich im abgesicherten Modus alles gelöscht habe, aber gleichnamige Files ohne Inhalt an deren Stelle platziert habe. (Wenn ich sie jeweils nur gelöscht habe, wurden sie immer wieder ersetzt beim nächste Start). Einige RegKeys die auf Dateien in diesem ordner verweisen haben, konnte ich auch nicht löschen und hab sie dann im abgesicherten Modus einfach mit anderem 'Inhalt' gefüllt.. seitdem wurde ihr alter Inhalt nicht mehr wiederhergestellt. Aber eben: Ich hab das Haus voller Schädlinge und komm ihnen irgendwie nicht bei, das sie sich gegenseitig immer wieder zu 'reinitialisieren' versuchen, wenn man sie an einer Stelle ausgeräuchert hat. Kann mir jemand helfen? mfg b00nish |
| Themen zu Eine Horde von Spy/Ad/Trojan/HiJack |
| abgesicherten modus, adobe, adware, alles gelöscht, desktop, dll, einstellungen, frage, helfen, hijack this, horde, internet, internet security, löschen, nvcpl.dll, nvidia, opera, programme, rundll, scan, security, spyware, surfen, system, taskmanager, teamspeak, trend micro, trojaner, verweise, werbung, windows, windows messenger, wurde ihr |
Baum-Darstellung