Hallo Jungs, da ich kein wirklichenPlan von Viren habe, aber viel von HighJack gelesen und das man aus den Logfiles einiges rauslesen kann, poste ich mal meine Highjacklog, ich weis das ich Viren drauf habe, hab aber nix zum entfernen. Brauche dringend Hilfe ...

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 20:59:34, on 27.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw4_start.htm
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NTSF MICROSOFT SYSTEM] lsass32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [NTSF MICROSOFT SYSTEM] lsass32.exe
O4 - HKLM\..\RunServices: [Configuration Loader] scvhost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\steam\steam.exe" -silent
O4 - HKCU\..\Run: [NTSF MICROSOFT SYSTEM] lsass32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{BCB26F1B-5A81-4D26-B9E2-82F0C4C23802}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Network DDE Client (NetDDEclnt) - Unknown owner - C:\WINDOWS\system32\autoexe.exe (file missing)
         

Mfg chriZ

Du hast u.a. diessen hier auf dem Rechner:

http://www.sophos.com/virusinfo/anal...agobotaae.html

Da es sich hier um einen Backdoor handelt, ist dein System als kompromittiert zu betrachten und sollte schnellstmöglich neuaufgesetzt werden.Am besten nach dieser Anleitung, um ähnliches in Zukunft zu vermeiden:

http://www.trojaner-board.de/showthread.php?t=12154

Warum eine Bereinigung hier nicht hilft:

http://www.mathematik.uni-marburg.de...al.html#sec2.5

Und dies ist der Grund dafür:

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Ohne regelmäßiges, zeitnahes Einspielen von Updates ist eine Verseuchung fast unvermeidlich.

Gruß
Yopie

Zitat:

Zitat von Yopie

Und dies ist der Grund dafür:


Ohne regelmäßiges, zeitnahes Einspielen von Updates ist eine Verseuchung fast unvermeidlich.

Gruß
Yopie

Hab das System ja erst Samstag neu gemacht gehabt daher noch keine Updates, seitdem nix gesaugt oder sonstiges, dennoch waren die Viren drauf ... GEhts nicht auch ohne nochmal neu machen ?

Mfg chriZ

Zitat:

Zitat von chriZ85L

Hab das System ja erst Samstag neu gemacht gehabt daher noch keine Updates, seitdem nix gesaugt oder sonstiges, dennoch waren die Viren drauf ... GEhts nicht auch ohne nochmal neu machen ?

Du warst online ohne die Windows-Firewall, das reicht. Und nein, es geht nicht anders, wie du ja sicher mittlerweile gelesen hast.

Gruß
Yopie

Zitat:

Zitat von chriZ85L

Hab das System ja erst Samstag neu gemacht gehabt daher noch keine Updates, seitdem nix gesaugt oder sonstiges, dennoch waren die Viren drauf ... GEhts nicht auch ohne nochmal neu machen ?

Mfg chriZ

Nein, geht nicht.Gründe haben wir dir oben gegeben.
Sicher dein System das nächste mal vor der ersten Internetverbindung vernünftig ab.Wie das geht, ist im Link zum Neuaufsetzen beschrieben.

Edit: Hi, Yopie

Sorry wenn ich nerve, aber ich hätt da noch ne Frage ... :>

Vor der ersten Internetnutzung absichern, hab ich verstanden, aber kann ich durchs blosse Online gehen mir Malware einfangen ? o_O

MfG chriZ

Zitat:

Zitat von chriZ85L

Vor der ersten Internetnutzung absichern, hab ich verstanden, aber kann ich durchs blosse Online gehen mir Malware einfangen ? o_O

Ja, kannst du. Du hast sicher schon mal von Sasser und Blaster gehört? Die Schädlinge auf deinem Rechner nutzen u.a. die gleichen Schwachstellen, sind aber viel gefährlicher.
-> http://sicher-ins-netz.info/wuermer/nw-wuermer.html

Hallo nochmal,

ich wollte mich erstmal bedanken für die recht fixe Hilfe und bin grad dabei meinen Rechner neu aufzusetzen und komplett neu zu machen. Über einen 2ten Rechner lade ich mir grade Programme wie Mozilla und Zone Alarm runter, damit ich mit meinem nicht erst ins Inet muss. Allerdings fehlt mir ein Programm für eine Partition Image, wie es Acronis True Image macht, gibt es da kostenlose Programme zum DL irgendwo ? Werde nachdem mein Rechner neu gemacht wurde nochmal eine Highjack Logfile online stellen, damit ich mir sicher sein kann, das erstmal nix mehr damit ist, bevor ich ein Image erstelle.

MfG chriZ

@chriZ85L
acronis True Image 7.0 war bei einige PC magazine kostenlos als vollversion.
man muss sich nur registrieren lassen.
C't anfang vom Jahr, wenn ich mich nicht täusche.
google doch mal
chaosman

So, habe nun den Rechner neu partitioniert, formatiert, XP drauf, SP 2 drauf, AntiVir, ZoneAlarm, AdAware und Mozilla drauf und habe nun eine neue HighJack Log erstellt, könnt ihr mal schauen, ob nun alles ok ist ?

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 13:12:34, on 28.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HighJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Um eine System Image zu erstellen, kann ich dazu auch Norton Ghost nehmen ? Mag Norton zwar eigentlich net, aber finde das andere im Inet nicht. Vielen Dank für die Hilfe nochmal.

MfG chriZ

Zitat:

Um eine System Image zu erstellen, kann ich dazu auch Norton Ghost nehmen

Ja, kannst du.


Das Log schaut sauber aus. Jetzt musst du nur noch lernen, dass man sich Sicherheit nicht installieren kann.
Lies dazu mindestens die ersten zwei, besser alle Artikel, die unter "Lesenswerte Lektüre für die Zukunft:" aufgeführt sind.

Zitat:

Zitat von chriZ85L

Allerdings fehlt mir ein Programm für eine Partition Image, wie es Acronis True Image macht, gibt es da kostenlose Programme zum DL irgendwo ?

Auf der Linux-Live-CD "Knoppix" ist Partimage drauf. Als kostenlose Alternative sehr zu empfehlen. Anleitungen findet man dazu im Netz.

Gruß
Yopie