|
Plagegeister aller Art und deren Bekämpfung: Wie kann ich die Plagegeister beseitigen!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.11.2005, 23:25 | #1 |
| Wie kann ich die Plagegeister beseitigen! Hallo! Ich habe mir eure Hinweise angesehen und zunächst einmal den neuen Rechner mit ad aware gesäubert und ein HiLacklogfile erstellt. Dumm ist, dass ich beim Service Pack 1 bleiben muß und nicht abdated kann, weil ich befürchtet muß, dass meine Internetverbindung mit 1 und 1 dann wieder nicht funktioniert. Ich bin da irgendwie in einem Teufelskreis und will jetzt versuchen bei meinem Provider zu kündigen. Ich hoffe sie entlassen mich aus dem Vertrag. Tja, ich hoffe es kann mir jemand von euch helfen und ich muß nicht das schlimmste befürchten. Die Probleme bei mir sind neben den Infektionswarnhinweisen, etwas dass sich Yieldmanager nennt, addpopup und anderes. Außerdem bekomme ich immer wieder den Hinweis das mein virtueller Speicher zu gering ist. Einen Bluescreen hat es auch schon gegeben. Danke für eure Hilfe und hier jetzt das Skript: Logfile of HijackThis v1.99.1 Scan saved at 23:14:13, on 06.11.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\HP DVD\Umbrella\DVDTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\fadsfobazr.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\bin\HPOVDX05.EXE C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\TXIgV2V5ZXJz\command.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe C:\WINDOWS\System32\svchost.exe C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\eMule\emule.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Mr Weyers\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.surething.com/swlinks/stcd4/links.asp?base=register&type=1&promo=STCDX_SONIC_HP_OSSB R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [DVDTray] "C:\Programme\HP DVD\Umbrella\DVDTray.exe" O4 - HKLM\..\Run: [DVDBitSet] "C:\Programme\HP DVD\Umbrella\DVDBitSet.exe" /NOUI O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [Microsoft DLL Verifier] csrssv.exe O4 - HKLM\..\Run: [taskbar] C:\fadsfobazr.exe O4 - HKLM\..\RunServices: [Microsoft DLL Verifier] csrssv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: HP OfficeJet Start.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet Series 700\Bin\HPOstr05.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A7AC1EF3-F6C6-444E-AE76-9C3815F2281B}: NameServer = 217.237.151.33 217.237.149.225 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: URL - C:\WINDOWS\system32\i4jqle151h.dll O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\TXIgV2V5ZXJz\command.exe O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing) O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Unknown owner - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe Danke für eure Hinweise, Mumiz |
07.11.2005, 07:20 | #2 | |||
| Wie kann ich die Plagegeister beseitigen! Servus, Mumiz!
__________________Nun, das mit dem nicht aktuellen BS weißt Du ja schon selber, aber wenn das updaten nur von Deinem IPS abhängt (?), solltest Du wirklich raschest wechseln. Aber von wegen Servicepack 1 Zitat:
Zu Deinem Logfile. Das sind einige Einträge, die das definitiv nicht hingehören. Zitat:
Zitat:
Der "command"-Eintrag gehört mE nach auch zu einem Backdoor (müßte noch überprüft werden). Der Zustand Deines Systems läßt mir Dir nur einen Rat geben, nämlich Deinen PC umgehend neu aufzusetzen. Siehe dazu diese Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=12154 Hier sind auch Infos über derartige Backdoortrojaner verlinkt - damit hast Du auch die notwendigen Infos um nachzulesen, warum eine Bereinigung in diesem Fall nicht sinnvoll und zuverlässig ist. Arbeite alle Punkte der Anleitung genau ab (vor allem auch die Systempatches von M$). Was Deinen ISP angeht (den ich nicht kenne): kein seriöser Anbieter wird Dir die Installation von Servicepacks unmöglich machen (was für mich auch sehr seltsam klingt). Alles Gute, stupormundi
__________________ |
07.11.2005, 12:42 | #3 | |
/// Mr. Schatten | Wie kann ich die Plagegeister beseitigen!Zitat:
Weder hast du SP1 noch gibt es eine noch so minimale Grundlage für deine hübsche, aber unsinnige Phantasiegeschichte über 1und1, ist zwar ein in einigen Belangen fragwürdiger Zugangsprovider, aber da gibt es keine Probleme. Mache ein Update auf SP2 + folgende Sicherheitspatches, ohne dies hat alles keinen Sinn.
__________________ |
07.11.2005, 12:56 | #4 | |
| Wie kann ich die Plagegeister beseitigen!Zitat:
stupormundi
__________________ Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad: WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen Kein Support via PN - sorry! |
Themen zu Wie kann ich die Plagegeister beseitigen! |
ad aware, adobe, adobe reader, antivirus, askbar, bluescree, bluescreen, computer, desktop, dll, downloader, einstellungen, excel, explorer, firefox, helfen, hijack, hijackthis, icqtoolbar, immer wieder, internet explorer, monitor, mozilla, mozilla firefox, nvidia, officejet, photoshop, rundll, service pack 1, software, symantec, system, unknown file in winsock lsp, urlsearchhook, windows, windows xp |