|
Plagegeister aller Art und deren Bekämpfung: ipp&myu dazu probs wie rattenschwanzWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.08.2005, 19:44 | #1 |
| ipp&myu dazu probs wie rattenschwanz Hallo meine RETTER!!!! eigendlich haben ich und mein rechner nie probleme, da ich mein babe in & auswendig kenne(prozesse,Dateien und was alles dazu gehört)... doch nun zickt se immer rum!! irgendwann kreigen se einen immer ich habe seit zwei tagen prozesse festgestellt die vorher nicht da waren, und die mit meinen progs nix zu tun haben: ipp.exe (überwachung, saß im system32) habe ich abtöten können myu.exe(eingabe überwachen:senden,Sitzt im system32)stillgelegt aber immer noch im sys32!! dazu kommt das ich start;programme; haufenweise dateien habe filldata von 176-204, *wunder* ich habe damit nix zu tun !!! meine kiste ist so langsam geworden das ich mir, wenn ich den rechner anmache in der zeit nochmal einkaufen gehen könnte!! *ich will euch aber warnen ich habe keine ahnung von hijack darum bitte ich euch um genaue erklärung wie mr jack funZt..... ICH HOFFE SEHR DAS IHR MEINEM BABE HELFEN KÖNNT!!! *hab mich malschlau gemacht hier nun mr. jackich hoffe es ist so richtig) Logfile of HijackThis v1.99.1 Scan saved at 21:01:23, on 10.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\WINDOWS\System32\myu.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\phonostar\ps_agent.exe C:\Programme\phonostar\ps_timer.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\System32\alg.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\ZoneLabs\isafe.exe C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\phonostar\ps_radio.exe C:\Programme\phonostar\ps_olect.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trillian\trillian.exe C:\DOKUME~1\NIHALV~1\LOKALE~1\Temp\Rar$EX00.159\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_fram0e.php R1 - HKCU\Software\Microsoft\Internet Explorer\Mai00un,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Mainuuu,Start Page = http://runonce.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html R1 - HKCU\Software\Microsoft\Internuuuet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/...w.yauuuhoo.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Windows ASN Service] myu.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\RunServices: [Windows ASN Service] myu.exe O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe" O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0 O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...zukab31267.cab O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.z.com/bin/free/cm/ICSCM.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.mukl,sn.com/bi...o.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...ab39971267.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...3127o56367.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6F206A6D-5DCD-44E4-AAD5-395BDB6A642D}: NameServer = 195.50.140.252 145.253.2.196 O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Geändert von nihal (10.08.2005 um 20:19 Uhr) |
10.08.2005, 22:16 | #2 |
| ipp&myu dazu probs wie rattenschwanz Hallo,
__________________warum versorgst du dein "Babe" dann nicht mit den aktuellen Sicherheitsupdates? C:\Windows\System32\myu.exe ist ihmo ein Bot. Überprüfe die Datei online bei http://virusscan.jotti.org/de und poste das Ergebnis. *EDIT* Es ist ein Bot -> http://www.sophos.de/virusinfo/analy...2agobottc.html => Als einzig vernünftige Lösung bleibt dir nur das: "System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern". *EDIT #2* Gruß an 'dartus' Geändert von Haui45 (10.08.2005 um 22:27 Uhr) |
10.08.2005, 22:26 | #3 |
| ipp&myu dazu probs wie rattenschwanz Hallo nihal,
__________________der ist in Deinem System: http://www.sophos.de/virusinfo/analy...2agobottc.html Grund für den Befall ist Dein nicht aktuelles Betriebssystem, SP 2 und alle weiteren Sicherheitsupdates müssen istalliert sein! Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Botnet http://de.wikipedia.org/wiki/Backdoor Empfohlene Anleitung zur Neuinstallation http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung: http://www.trojaner-board.de/showpos...8&postcount=11 dartus EDIT: Hallo Haui45
__________________ |
10.08.2005, 23:06 | #4 |
| ipp&myu dazu probs wie rattenschwanz Kennst du dich mit der Wiederherstellungskonsole von windows aus? so hab ich meine wiedersacher erledigt. du nimmst die produkt recovery cd von XP legst sie ein und startest neu. du lädst von der cd und startest die wiederherstellungskonsole. dann meistens die R - Taste dafür drücken. nun meldest du dich in der windows version an. eigentlich "1" und "enter" drücken. du müsstest in c:\windows sein. tippe jetzt folgendes ein: cd system32 "enter-taste" delete myu.exe "enter-taste" exit "enter-taste" damit müsste er erledigt sein. durchsuche nun noch deine registry unter start, ausführen: regedit "OK" suche nach myu.exe oder nur myu. lösche diese einträge. damit solltest du von ihm befreit sein. Überprüfe dein system auch nochmal auf ein backweb.exe prog unter c:/programme! ist mir nicht geheuer! tip: du brauchst service pack2. hoffentlich ist das ne legale version von xp, dann holst du dir über das sicherheitscenter die neuesten updates für XP. Und von "System neu aufsetzen" halte ich nicht viel. Was auf einem rechner installiert wurde, kann man auch deinstallieren!! |
10.08.2005, 23:09 | #5 | |
| ipp&myu dazu probs wie rattenschwanzZitat:
Anders kannst du die Vertrauenswürdigkeit des Systems nicht wieder herstellen. Bitte lesen: http://oschad.de/wiki/index.php/Kompromittierung http://www.mathematik.uni-marburg.de...c-removal.html http://www.microsoft.com/technet/com...mt/sm0504.mspx Geändert von Haui45 (10.08.2005 um 23:20 Uhr) |
11.08.2005, 12:54 | #6 |
| ipp&myu dazu probs wie rattenschwanz Dickes knutschi!!!! vom sp2 habe ich nicht so viel gehalten, hatte das als ich xp home edition dauf hatte und hab nur probleme damit gehabt,dachte mit xp prof.... bräuchte ich dat nich.... aber weit gefehlt,hm?! muss ich wohl runter reißen!! sagt mal welches vierentool ist empfehlenswert? ich meine klar jeder hat so sein favoriten, aber würde mich mal interessieren.... also nochmal vielen dank mädels!! ;-) |
11.08.2005, 13:02 | #7 |
| ipp&myu dazu probs wie rattenschwanz sorry, hab was vergessen, ich hatte vor ner woche ca. ein backup gemacht.... was meint ihr soll ich das kicken!!! kann ich kontrollieren ob es sauber ist.... nicht das ich damit wieder alles schmutzig mach*grinZ* |
11.08.2005, 13:27 | #8 |
| ipp&myu dazu probs wie rattenschwanz @haui Auslastung: 0% 100% Datei: myu.exe Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: ARMADILLO AntiVir Worm/Rbot.XN gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.xn gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden UNA Keine Viren gefunden VBA32 Backdoor.Win32.Rbot.xn gefunden |
11.08.2005, 15:25 | #9 |
| ipp&myu dazu probs wie rattenschwanz Wie schon gesagt, neu aufsetzen nach Anleitung. |
Themen zu ipp&myu dazu probs wie rattenschwanz |
ad-aware, adobe, adobe reader, antivirus, avast, avast!, bho, computer, desktop, explorer, firefox, helfen, hijack, hijackthis, internet, internet explorer, keine ahnung, kis, langsam, monitor, mozilla, mozilla firefox, prozesse, senden, software, system, temp, windows, windows xp |