hijackthis log wg. spysheriff

-Silke- · 14.06.2005, 09:48

Hallo.... habe mir diesen Mist auch eingetreten...
Wie werde ich ihn wieder los? kann ihn weder über den explorer noch mittels norton löschen... und den actice desktop habe ich auch gelöscht, aber das blöde hintergrundbild ist immernoch da...
hier ist meine logfile (hab so gut es geht versucht, die hyperlinks zu verändern, damit sie keiner anklickt...

tausend dank!

Logfile of HijackThis v1.99.1
Scan saved at 10:27:02, on 14.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
D:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Daily Weather Forecast\weather.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\PROGRA~1\COMMON~1\ookw\ookwm.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
D:\Programme\Netropa\Onscreen Display\OSD.exe
D:\Programme\Netropa\InetKb\Inetkb.exe
D:\PROGRA~1\COMMON~1\ookw\ookwa.exe
D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
D:\Programme\NETGEAR\WG121 Configuration Utility\wlancfg8.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Programme\ISTsvc\istsvc.exe
D:\Programme\eMule.de\emule.exe
D:\WINDOWS\system32\WISPTIS.EXE
D:\Programme\Outlook Express\msimn.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Winamp\winamp.exe
D:\Programme\WinRAR\WinRAR.exe
D:\DOKUME~1\Besitzer\LOKALE~1\Temp\Rar$EX00.609\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://www.myzone.at/webkeeper/Controller
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {7C7A8947-5935-4430-AC0E-E7D04697414E} - D:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~2.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: metaspinner media GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - D:\PROGRA~1\BUYERT~1\BUYERT~1\IEBUTT~3.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Bietfuchs Toolbar - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - D:\Programme\Bietfuchs\Bietfuchs Internet-Explorer Toolbar\BietfuchsExplorerBar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MediaFace Integration] D:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [LWBMOUSE] D:\Programme\FSC\Wireless Wheel Mouse\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [Daily Weather Forecast] D:\Programme\Daily Weather Forecast\weather.exe
O4 - HKLM\..\Run: [jjbJD] D:\WINDOWS\fgcnls.exe
O4 - HKLM\..\Run: [Á ³#
K"h'þ9Óœ÷3rÅ WD:\Programme\ISTsvc\istsvc.exe] D:\WINDOWS\fgcnls.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AcctMgr] D:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] D:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [IST Service] D:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ookw] D:\PROGRA~1\COMMON~1\ookw\ookwm.exe
O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe
O4 - HKCU\..\Run: [SpySheriff] C:\Program Files\SpySheriff\SpySheriff.exe
O4 - HKCU\..\Run: [Buyertools Reminder] "D:\Programme\Buyertools\Buyertools Reminder\Reminder.exe" /autorun
O4 - Global Startup: autobiet.lnk = D:\Programme\kAmel\control\autobiet.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?
O8 - Extra context menu item: eBay Powersuche - ://www.webtip.ch/cgi-bin/msiebutton/tracker.pl?adv[/url]
O8 - Extra context menu item: eBay Produktsuche - D:\Programme\Buyertools\Buyertools Reminder\SearchEbay.htm
O8 - Extra context menu item: eBay Startseite - http://://www.webtip.ch/cgi-bin/msie...racker.pl?heim
O8 - Extra context menu item: Mein eBay - http:////www.webtip.ch/cgi-bin/msieb...racker.pl?mein
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Buyertools Reminder - {27914077-B4D6-4A0E-9763-76B6E9DD9A81} - D:\Programme\Buyertools\Buyertools Reminder\ReminderIE.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - D:\Programme\Bietfuchs\Bietfuchs Internet-Explorer Toolbar\BietfuchsExplorerBar.dll
O9 - Extra 'Tools' menuitem: Bietfuchs - {C281AB23-16F3-413A-BEE6-AB9B75A20A99} - D:\Programme\Bietfuchs\Bietfuchs Internet-Explorer Toolbar\BietfuchsExplorerBar.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: ://ny.contentmatch.net (HKLM)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://://tools.ebayimg.com/eps/wl/a..._v1-0-3-24.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: SAVScan - Symantec Corporation - D:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

chaosman · 14.06.2005, 09:56

@Silke

du hast einiges im system, leider auch diesen hier
http://www.sophos.de/virusinfo/analy...2spybotcy.html

deswegena kann ich dir nur raten dein system so schnell wie möglich vom netz so nehmen und neu aufzusetzen(formatC), am besten nach dieser anleitung
sry

chaosman

-Silke- · 14.06.2005, 10:00

einzige Möglichkeit??

chaosman · 14.06.2005, 10:12

@-Silke-
W32/Spybot-CY verbreitet sich, indem er sich auf Netzwerkfreigaben mit einfachen Kennwörtern kopiert. Der Wurm durchsucht zufällige IPs nach Computern mit der RPC/DCOM-Schwachstelle und versucht, sich unter Ausnutzung der RPC/DCOM-Schwachstelle auf diese Computer zu verbreiten.

W32/Spybot-CY enthält eine umfangreiche Backdoor-IRC-Trojanerkomponente. Die Trojaner-Komponente meldet sich an vordefinierten IRC-Servern und einem vordefinierten Kanal an.

W32/Spybot-CY wartet dann auf Backdoor-Befehle, die er auf dem infizierten Computer ausführt. Mit der Backdoor kann Folgendes durchgeführt werden:

* Kopieren, Löschen, Starten, Senden und Herunterladen von Dateien auf den infizierten Computer.
* Speichern von Tastenfolgen in einer Datei und in IRC.
* Stehlen von Kennwörtern vom infizierten Computer.
* Steuerung der Tastatur des infizierten Computers.
* Umleiten und Fälschen von Internet-Verkehr.
* Suchen nach offenen Ports auf anderen Computern.
* Teilnehmen an Denial-of-Service-Attacken durch Paket-Fluten.
* Auflisten und Beenden von Prozessen.
* Updates von sich selbst.
* Einrichten eines HTTP-Webservers, um Browser-Zugriff auf das Dateisystem des Compuers zu ermöglichen.
* Senden seltener IRC-Befehle.
* Blinken der Tastaturleuchten.
* Öffnen und Schließen des CD-ROM-Laufwerks.
* Vorkonfigurierte Änderungen der Registrierung.

Du bist Besitzerin eines "zombies", d.h. dein rechner gehört dir nicht mehr.
lese mal nach
http://www.mathematik.uni-marburg.de...ompromise.html

einzige Möglichkeit??
Bei kompromittierte rechner, ja!
Anders würde ich es dir nicht empfelen.
sry
chaosman

dartus · 14.06.2005, 10:18

Hallo,

dann lass doch diese datei:

C:\winstall.exe

hier online scannen:

http://virusscan.jotti.org/de

Teile dann das Ergebnis mit.

Falls noch nicht eingestellt:
Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken

Wurde zwar schon gescannt , schaun wir mal was nun kommt.

dartus

-Silke- · 14.06.2005, 15:24

So... mein system ist ein wenig anders:

mein betriebssytsem (mist xp) ist auf der platte d, da ich sämtliche daten auf platte c gespeichert habe und so die benennung nicht mehr tauschen konnte...
demnach sollte diese c:/winstall.exe datei auch auf D sein...ist sie aber nicht!

sie ist auf c. sollte ich nun meine gesamte datensammlung schrotten??
noch was: habe schon hochmotiviert alle wichtigen sachen auf festplatte c verschoben und wollte D: mittels xp cd neu formatiere: ich kann trotz F6 etc. NICHT von der xp cd starten und da sich bill gates die ms-dos startversion bei xp geschenkt hat, kann ich -mit meinem wissen- den scheiß pc nicht neu aufsetzen. habe es inzwischen mit 2 winxp cds versucht, in allen 3 cd laufwerken (keine reaktion auf die cd beim booten) und wenn ich gleichzeitig eine diskette einlege um ihn dazu zu bringen seine laufwerke vorm starten besser zu checken, bleibt er beim starten einfach hängen...

der scan von wininstall.exe:

Datei: winstall.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) (Anmerkung: Es wurde nur nicht-destruktive Malware gefunden. Obwohl diese Art von Malware lästig sein kann, werden die Ergebnisse nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Trojan.Click.522 gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Click.522 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Misc/Renos.A gefunden
Kaspersky Anti-Virus not-virus:Hoax.Win32.Renos.a gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Danke

dartus · 14.06.2005, 15:54

Hallo,

um mit einer CD-ROM zu booten, sollte im BIOS auch in der Startreihenfolge "CD-ROM" an erster Stelle stehen.

dartus

-Silke- · 14.06.2005, 16:07

beim letzten aufsetzen hat es ja auchnoch so geklappt, es ist -soweit ich weiß- auch cdrom als startoption ausgewählt, außer ein trojaner kann das auch ändern....

cronos · 14.06.2005, 16:16

Vllt. bringt dich ja das weiter:

http://8ung.at/chemikers-home/SETUP.html

hijackthis log wg. spysheriff

Log-Analyse und Auswertung: hijackthis log wg. spysheriff