Hi Leute,

ich hab euch hier mal ein Log File gepostet, wäre schön wenn ihr mir da weiter helfen könntet. Ich habe einen Rechner der sich über ISDN einwählt, dieser Rechner hat in den letzten 3 Tagen Einwahlkosten von 600 Euro verursacht, mir liegt viel daran den Übeltäter zu finden bzw das Geld nicht zahlen zu müssen. Ich bin gerade dabei mir vond er Telekom die genau Nummer zu besorgen.


BITTE HELFT MIR!!!!


Logfile of HijackThis v1.99.1
Scan saved at 10:20:48, on 12.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\msdtc.exe
C:\PROGRA~1\MICROS~2\MSSQL\binn\sqlservr.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\system32\vnsystask.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\system32\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\explorer.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\apvxdwin.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\0190 Warner\Warn0190.exe
C:\Programme\Messenger\msmsgs.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\WINDOWS\system32\vnsystask.exe" -servicehelper
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RunDll32] "C:\WINDOWS\system32\explorer.exe"
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1127207107296
O17 - HKLM\System\CCS\Services\Tcpip\..\{F52CEC07-5531-428F-8588-428AAFE1E0F4}: NameServer = 192.168.100.250
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: systask - Unknown owner - C:\WINDOWS\system32\vnsystask.exe" -service (file missing)
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Hallo,
beende mal folgenden Prozess im Taskmanager:
C:\WINDOWS\system32\vnsystask.exe
und überprüfe zusätzlich folgende Datei (falls vorhanden) ( Dateien suchen ):
C:\WINDOWS\system32\explorer.exe
hier und poste das Ergebnis.
Auf keinen Fall irgendwelche Dateien löschen!

Und lies dich mal hier in die Links bei "Was tun im Schadfall" ein.


Grüße Wildone

Servus, bit-center!

Lass´ mal diese Dateien bla, bla, bla...
Wildone war schneller
gts, stupormundi

hier der auszug aus dem internetscanner!


Auslastung: 0% 100%

Datei: explorer.exe
Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme: UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden


Zuletzt gefundene Malware war newdotnet6_90.dll, gefunden von:

Scanner Name der Malware
AntiVir X
ArcaVir X
Avast X
AVG Antivirus X
BitDefender X
ClamAV X
Dr.Web Adware.NewDotNet
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA X
VBA32 X


und was jetzt?

Was ist mit der anderen Datei (-prüfung)?
stupormundi

meinst du die vnsystask ?

hier:

Auslastung: 0% 100%

Datei: vnsystask.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Program.RemoteAdmin gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VBA32 Keine Viren gefunden



Zuletzt gefundene Malware war autobuff.rar, gefunden von:

Scanner Name der Malware
AntiVir X
ArcaVir Trojan.Clicker.Small.Ht
Avast X
AVG Antivirus X
BitDefender Trojan.Clicker.Small.BT
ClamAV X
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus X
NOD32 X
Norman Virus Control X
UNA TrojanClicker.Win32.Small
VBA32 X

Lass´mal silentrunner laufen http://www.silentrunners.org/
Mal sehen, die Ergebnisse sind ja bisher nicht sehr aussagekräftig!
Und was die Telekomnummer angeht, die wirst Du auf jeden Fall brauchen!
Schau´ Dir mal wildone´s link dazu an!
bis dann, stupormundi

Hallo,
hast du eigentlich das Programm WinVNC absichtlich installiert? Da das ein Programm zur Fernsteuerung des Rechners ist bin ich da etwas mißtrauisch.
Aber die C:\WINDOWS\system32\explorer.exe macht mich irgendwie noch mehr stutzig, packe mal die Datei in ein Passwortgeschütztes Archiv, und schicke es mit dem Passwort an newvirus@kaspersky.com .
Hast du eigentlich schon irgendwas entfernt, z.B. mit Panda, oder anderen Tools?


Grüße Wildone

ok, werde die Datei gleich mal packen, entfernt habe ich nichts, panda ist am freitag noch gelaufen und war heute dann deaktiviert. löscht silentrunner etwas oder zeigt das auch nur gefahren an?

Nein, löscht nix, zeigt nur an!
Was ist iÜ mit diesem Remote Admin, hast Du den selber wissentlich installiert oder nicht?
stupormundi

Hallo,
ach bevor ich es vergesse, du schickst am besten nur eine Kopie, damit das Orginal bei dir bleibt.


Grüße Wildone

also, den vnc service hab ich installiert, da der rechner nicht bei mir steht, sondern ein kunden rechner ist, den ich über einwahl warte!

kann das sein das silentrunners geld kostet? oder wie komm ich zu dem was ihr wollt?


ok, die email ist jetzt auch raus! was nun?

Hallo,
zu Silentrunner
dann würde ich noch vorschlagen das System zusätzlich mal mit Escan (Anleitung genau beachten!).
Die Analyse von Kaspersky wird wahrscheinlich sowieso 1/2 Tage dauern. Aber mich befallen langsam Zweifel ob wir dir überhaupt helfen sollten, immerhin nimmst du wahrscheinlich Geld für die Arbeit die wir machen...



Grüße Wildone

Zitat:

kann das sein das silentrunners geld kostet? oder wie komm ich zu dem was ihr wollt?

Interessante Frage - meine Gegenfrage dazu: Warum glaubst Du wohl, dass ich (wir) Dir links für den Download der Programme anbieten? Und wollen - ja wollen tust vor allem Du etwas - nämlich Hilfe erhalten!
Also in diesem Sinne, stupormundi