Hi erstmal.

Hab mir mal wieder so eine ratte eingefangen, jetzt reichts mir aber mit neu aufsetzten. Diesmal will ich das ding so loswerden. Hoffe ihr könnt mir helfen, bin ein ziemlicher noob...

Also hier mein HijackThis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:14:05, on 10.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Winamp 5.11\winampa.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Winamp 5.11\winamp.exe
E:\Programme\CWShredder\Update 3\cwshredder.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Programme\HijackThis\1.99.1\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp 5.11\winampa.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{83E273B1-1185-4132-AD64-3A326C49AA93}: NameServer = 85.255.115.42,85.255.112.118
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


CWShredder findet CWS.Msconfd.

Das scheissding haut mir pornolinks in die favourites und verlinkt mich auch auf fremde seiten weiter...

Bin unendlich dankbar für jeden tip.

Da hat man Firewall (ZoneAlarm), Virenschutz (AVG free), und sogar den SpyBot SD Resident laufen und die scheissdinger infiltrieren den rechner trotzdem ^^

mfg BS

Hallo,
sieht nicht gut aus für dein System, aber lass mal F-secure Blacklight drüberlaufen und poste das Ergebnis.


Grüße Wildone

Also erstmal danke für die schnelle antwort!

Was ich vorhin vergas zu erwähnen is dass der virusschutz zeitweise aufpopt mit einer viruswarnung:

While opening file: C:\WINDOWS\system32\logo_big.exe
Trojan Horse Downloader.Generetic.KMT

und das selbe mit

While opening file: C:\WINDOWS\system32\sphlp32.exe
Trojan Horse Clicker.FR

Natürlich geht weder Heal noch Delete noch Move to Vault. Auch finde ich die dateien nicht...

Nun zum Blacklight scan. Super tool!

12/10/05 17:16:47 [Info]: BlackLight Engine 1.0.29 initialized
12/10/05 17:16:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/10/05 17:16:47 [Note]: 7019 4
12/10/05 17:16:47 [Note]: 7005 0
12/10/05 17:16:57 [Note]: 7006 0
12/10/05 17:16:57 [Note]: 7011 1392
12/10/05 17:16:57 [Note]: 7018 1792
12/10/05 17:16:57 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe
12/10/05 17:16:57 [Note]: FSRAW library version 1.7.1013
12/10/05 17:17:25 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
12/10/05 17:17:25 [Note]: 10002 1
12/10/05 17:17:32 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe
12/10/05 17:17:32 [Note]: 10002 1
12/10/05 17:17:39 [Info]: Hidden file: C:\WINDOWS\system32\csuwi.exe
12/10/05 17:17:39 [Note]: 7002 32
12/10/05 17:17:39 [Note]: 7003 1
12/10/05 17:17:39 [Note]: 10002 1
12/10/05 17:17:46 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
12/10/05 17:17:46 [Note]: 10002 1
12/10/05 17:17:52 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
12/10/05 17:17:52 [Note]: 10002 1
12/10/05 17:18:01 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
12/10/05 17:18:01 [Note]: 10002 1
12/10/05 17:18:07 [Info]: Hidden file: C:\WINDOWS\system32\logo_big.exe
12/10/05 17:18:07 [Note]: 7002 5
12/10/05 17:18:07 [Note]: 7003 1
12/10/05 17:18:07 [Note]: 10002 1
12/10/05 17:18:18 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
12/10/05 17:18:18 [Note]: 10002 1
12/10/05 17:18:25 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
12/10/05 17:18:25 [Note]: 7002 5
12/10/05 17:18:25 [Note]: 7003 1
12/10/05 17:18:25 [Note]: 10002 1
12/10/05 17:26:24 [Note]: 7007 0

Jetzt fang ich langsam an zu verzweifeln ^^

mfg BS

Hallo,
das hatte ich befürchtet, sorry, aber bei Rootkitbefall solltest du dein System neu aufsetzen, das gräbt sich einfach zu tief ein.
Wo bzw. wie du dir das eingefangen hast kann ich nicht sagen, würde aber auf unzureichend abgesicherten IE tippen oder bei der Installation unseriöser Software (Cracks?).
Hier ist eine Anleitung wie du beim neu aufsetzen und anschließenden absichern vorgehen solltest damit das nicht wieder passiert, lies dir mal besonders intensiv das Konzept unter eingeschränkten Rechten zu surfen durch.



Grüße Wildone

Verfluchtes Active Scripting kann ich da nur sagen.

War einfach fahrlässig von mir, werde in Zukunft wohl browsertechnische änderungen vornehmen müssen.

Danke für deine hilfe ! !

mfg BenSanderson