Hallo,
habe seit heute diesen Plagegeist am Hals und weiß nicht, wie ich den wieder loswerde. Ad-aware, SpyBot und AntiVir helfen nicht bzw. finden nichts.
Auch in den üblichen Windows StartUps steht nichts. Trotzdem aktiviert sich dieses Ungetüm bei jedem Windows (XP) Start.
Sieht so aus als ob sich diese Anwwendung über irgendwelche Registry-Einträge generiert, startet und anschließend wieder von der Platte löscht.
Hier ein Screenshot:



Hat jemand eine Idee ?

Danke, dm924

hallo,

bitte mal ein HJT logfile posten.

gruß

Hallo,
danke für die schnelle Reaktion. Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:44, on 24.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Crazy Browser\Crazy Browser.exe
D:\Downloads\2005-08-17\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D410A84-BD57-43F9-8D93-B8819D212B77}: NameServer = 85.255.115.62,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76DB540-EE2D-4EFE-A50E-58C444AB3668}: NameServer = 85.255.115.62,85.255.112.71
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe

Hallo,

tja im moment seh ich direkt nix...
ich muss nun mal genauer gucken...
aber mal warten wer sich noch so meldet...
lieber ne meinung mehr als zu wenig...

gruß

hallo,
die beiden O17-Einträge fixen:
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D410A84-BD57-43F9-8D93-B8819D212B77}: NameServer = 85.255.115.62,85.255.112.71
O17 - HKLM\System\CCS\Services\Tcpip\..\{A76DB540-EE2D-4EFE-A50E-58C444AB3668}: NameServer = 85.255.115.62,85.255.112.71
ist ein ukrainischer Server....
cacatoa

Hallo,
habe die beiden Einträge entfernt, hilft aber nichts. Kommt nach wie vor.
Hier nochmal mein aktuelles Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 08:52:43, on 25.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
D:\Downloads\2005-08-17\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp\WinStylerThemeSvc.exe

Trotzdem danke.

Habe genau dasselbe Problem, mit jedem Systemstart ist diese Leiste wieder da und kein Scanner konnte sie entfernen. Falls jemand rausbekommt wie man das Teil entfernt, wäre ich sehr dankbar wenn er es postet, falls ichs rausbekomme poste ich natürlich auch

Hi,
nachdem ich den ganzen Mittag an dem Mist hing hab ich es hiermit wegbekommen, nachdem ich die gefundenen Dateien Renamed habe.
http://www.europe.f-secure.com/exclude/blacklight/index.shtml

Hi,

super ! Klappt tatsächlich. Endlich bin ich diesen Wahnsinn los !

Vielen Dank auch !

Hallo,
also ich möchte eure Euphorie ja nicht bremsen, aber bei Rootkitbefall empfehle ich das System neu aufzusetzen. Ein Rootkit frisst sich so tief ins System das ist nicht mehr beseitigbar. Hier ist ein super Artikel zum Thema Rootkit, ist für euch aber wohl zu technisch. Also hier eine Anleitung wie ihr beim Neuaufsetzen vorgehen solltet.


Grüße Wildone

Jup auch bei meinem Kunden ist es weg!! Kann mir aber mal jemand sagen wo, wie man sich den Mist eingefangen hat??

Klar wäre es bei dem Rootkit immer besser das System neu aufzusetzen aber das is nunmal sone Sache Mein Kunde hat da soviele Progs etc. drauf das es ca. 5-6h dauert das alles wieder ans laufen zu bekommen...

Weiß auch net warum der sich schon wieder was eingefangen hat... hat eigentlich soweit alle Schutzmaßnahmen aktuell... naja shit happens

Danke nochmal

mfg tobbe