Da ich in letzter Zeit trotz Virenscanner (AntiVir) und Firewall (ZoneAlarm) Probleme mit Würmern hatte, die weg zu sein schienen, aber wiedergekommen sind, habe ich mal HijackThis laufen lassen. Kann jemand damit was anfangen? Ist da irgendein Wurm, Virus o.ä. dabei?

Schonmal Danke!

Die Sachen hinter "-->" meine ich identifiziert zu haben.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE --> AntiVir
C:\Programme\AVPersonal\AVWUPSRV.EXE --> AntiVir
C:\WINDOWS\system32\ZONELABS\vsmon.exe --> Zone Alarm
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe --> Hava
C:\Programme\Microsoft IntelliPoint\point32.exe --> Maus
C:\Programme\ZoneAlarm\zlclient.exe --> ZoneAlarm
C:\Programme\AVPersonal\AVGNT.EXE --> AntiVir
C:\WINDOWS\System32\ctfmon.exe
C:\Sprachen\AllChars\AllChars.exe --> bekannt
C:\PROGRA~1\Magic\Magic.exe --> bekannt
C:\Programme\Mozilla Firefox\firefox.exe --> bekannt
C:\Programme\FlashGet\flashget.exe --> bekannt
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe --> bekannt
C:\Dokumente und Einstellungen\Silvia\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe --> bekannt

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll --> Acrobat
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\Programme\FlashGet\jccatch.dll --> FlashGet
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll --> FlashGet
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe --> Java
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime --> QuickTime
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" --> Maus
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe --> Nero
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe" --> bekannt
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min --> bekannt
O4 - HKLM\..\RunServices: [HP Deskjet 500] HP_DeskJet_500.exe --> entfernt, da nicht mein Drucker und Wurm
O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKLM\..\RunServices: [MicroSoft Remote Secure Service] MSRSS.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NetLaunchXP] C:\Programme\NetLaunch\netlaunchxp.exe --> bekannt
O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe
O4 - Startup: AllChars.lnk = C:\Sprachen\AllChars\AllChars.exe --> bekannt
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Definition - http:\\wordreference.com\english\j\0300.htm --> alle wordreference.com-Sachen bekannt
O8 - Extra context menu item: =>&Français - http:\\wordreference.com\fr\j\iefr119.htm
O8 - Extra context menu item: =>&Inglese - http:\\wordreference.com\it\en\j\0300.htm
O8 - Extra context menu item: =>&Italiano - http:\\wordreference.com\it\j\ieit99.htm
O8 - Extra context menu item: =>&Spanish - http:\\wordreference.com\es\j\iees69.htm
O8 - Extra context menu item: =>Anglais - http:\\wordreference.com\fr\en\j\0300.htm
O8 - Extra context menu item: =>Inglés - http:\\wordreference.com\es\en\j\iespen109.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm --> FlashGet
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm --> FlashGet
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_02\bin\npjpi142_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {AD08A333-609E-11D3-950C-008098601567} - http://wordreference.com/Install/defin.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/webregtest/RegDload.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{E165E570-7919-4FAC-9CEB-67367BAF849D}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Da auf deinem System mehrer Würmer mit Backdoorfunktionalität (RBot-Varianten) aktiv waren/sind, lautet meine Empfehlung "Setz dein System neu auf und sichere es vor der ersten Internetverbindung entsprechend ab". Eine sehr gute Anleitung findest du hier.

Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen:
erstens, zweitens und drittens.

Was passieren kann:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689

Danke!

Ist es wirklich nicht ausreichend, sie zu entfernen? Immer wenn sie auf das Internet zugreifen wollten, habe ich das mit ZoneAlarm unterbunden, spielt das eine Rolle? Oder waren sie trotzdem aktiv?
Mir ist trotz der Texte nicht klar geworden, ob ich nun Backups meiner Dateien machen darf, zudem komme ich mit Knoppix nicht ins Internet, wodurch es schwierig würde...

Zitat:

Immer wenn sie auf das Internet zugreifen wollten, habe ich das mit ZoneAlarm unterbunden

Das ändert nichts!

Zitat:

Oder waren sie trotzdem aktiv?

Ja.

Zitat:

Mir ist trotz der Texte nicht klar geworden, ob ich nun Backups meiner Dateien machen darf

Generell solltest du nicht ausführbare Dateien und Office-Dokumente "relativ" gefahrlos sichern können. Trotzdem vor dem Zurückspielen mit einem aktuellen AV scannen.

Zitat:

zudem komme ich mit Knoppix nicht ins Internet, wodurch es schwierig würde...

Was würde schwierig werden?

Zitat:

Zitat von Haui45

Ja.

Waran kann ich das merken? Veränderte Dateien, Spam-Mails und dergleichen sind mir nicht aufgefallen, nur die Versuche, ins Internet zu gelangen.

Zitat:

Generell solltest du nicht ausführbare Dateien und Office-Dokumente "relativ" gefahrlos sichern können. Trotzdem vor dem Zurückspielen mit einem aktuellen AV scannen.

Aber von Knoppix aus, oder?

Zitat:

Was würde schwierig werden?

Aktualisierungen, Passwortänderungen usw., da ich mit Knoppix keine Internetverbindung herstellen kann bzw. keine Seiten aufrufen kann. Beim letzten Mal gab es Probleme beim Trennen und ich kam 24 Stunden nicht mehr ins Internet.

Zitat:

Waran kann ich das merken?

Ganz einfach daran, dass sie versucht haben sich zu verbinden und das wahrscheinlich auch gelungen ist. Nur weil eine PFW "bemerkt", dass sich ein Programm einwählen will, heißt das nicht, dass sie es auch verhindert.
http://www.rokop-security.de/index.php?showtopic=7659
Passt einigermaßen zu der Thematik.

Zitat:

Aber von Knoppix aus, oder?

Kannst du auch unter Windows brennen.

Zitat:

Aktualisierungen, Passwortänderungen usw.,

Das machst du, nachdem du neu aufgesetzt hast. Updates vorher von einem sauberen Rechner runterladen.


mfg Haui

Ok, danke!

@Car

DateienZurückspielenNachInfektion
Du solltest die Dateien, die Du benötigst auf eine CD (RW) brennen und nachdem Du Dein System neu installiert und die '10-Punkte-Liste' abgearbeitet hast mit einem Virenscanner scannen. Da Du eScan schon hast, solltest Du die heruntergeladene Datei mwav.exe auf jeden Fall ebenfalls sichern und auf bekanntem Wege auf dem neuen System 'installieren' und aktualisieren. Danach scannst Du mit eScan die komplette CD, bevor Du auch nur eine einzige Datei auf den Rechner zurück kopierst. Wenn eScan auf der CD keine infizierte Datei findet, kannst Du einigermaßen(1) sicher sein, dass die CD sauber ist.
Findet eScan etwas auf der CD, diese Datei(en) auf keinen Fall auf den Rechner kopieren.
ZitatLutz


chaosman