Bitte um Hilfe wegen infect

tukan39 · 14.12.2005, 07:19

Hallo zusammen,
bei mir taucht jetzt auch immer ein Popup auf, das Windows mit Spyware
infected ist. Da ich nicht so viel Ahnung davon habe, wäre es nett, wenn mir jemand helfen könnte, das wieder zu beseitigen.
Vielen Dank und Grüsse
tukan39
Hier ist der logfile:
Logfile of HijackThis v1.99.1
Scan saved at 18:26:13, on 13.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Bernard\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.aldi.com/
O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\system32\hp8BD4.tmp (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (file missing)
O3 - Toolbar: Pictures - {8E929F51-5914-11D6-971F-0050FC3F9161} - C:\Programme\Pictures Toolbar\Pictures.dll (file missing)
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld854A.tmp" /m
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: desktop(2).ini
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: desktop(2)(2).ini
O4 - Global Startup: desktop(2).ini
O4 - Global Startup: desktop(3).ini
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Rene-gad · 14.12.2005, 08:24

@tukan39
Benutze mal dieses Progamm, um die nicht notwendigen Dienste abzuschalten.
Lade SpyBot S&D und AdAware herunter und scanne deinen PC.

Zitat:

O4 - HKLM\..\Run: [NAVNet] "C:\WINDOWS\system32\1024\ld854A.tmp" /m

Ich frage mich, was eine tmp-Datei im Autostart zu suchen hat? Bitte die Datei richtig suchen und bei www.virustotal.com checken.

tukan39 · 14.12.2005, 09:44

Hallo Rene-gad,
vielen Dank für Deine schnelle Hilfe. Mit SpyBot und AdAware hatte ich schon
gescannt, aber nichts gefunden. Deine anderen Vorschläge werde
ich heute abend ausprobieren (muß gerade arbeiten).
Viele Grüße
tukan39

Wildone · 14.12.2005, 10:55

Hallo,
du hast Spyaxe. Besorge dir mal dieses Tool, enpacke es, lass es im abgesicherten Modus(F8 beim booten) laufen (ausführen der runthis.bat), und poste danach den Inhalt der Datei C:\smitfiles.txt

Dann machst du noch folgendes und postest die vier Logs (nur die Dateien der letzten drei Monate abkopieren!)

Grüße Wildone

Rene-gad · 14.12.2005, 11:27

@Wildone

Zitat:

du hast Spyaxe.

Wie kann man das beweisen?

Zitat:

Dann machst du noch folgendes und postest die vier Logs (nur die Dateien der letzten drei Monate abkopieren!)

ROFL! Warum nicht einfach die Temp-Ordner zu leeren und den Explorer richtig einstellen? Diese "4 Logs in 3 Monaten" belegen u.U. 5 Seiten und zig MB Speicherplatz!!!

Wildone · 14.12.2005, 11:49

Hallo,
also ich schreibe dir ja auch nicht vor wie du deine Systeme analysieren sollst, und solange ich das innerhalb der Forenrichtlinien mache sehe ich keinen Grund dies zu ändern, es sei denn jemand aus dem Mod Team bittet mich das Board zu verlassen, dem würde ich dann folge leisten.
Ich habe meine Gründe warum ich die vier Logs haben will, und sie passen meist in einen Beitrag und sind nicht größer als beispielsweise ein Log mit winpfind.

Zitat:

Wie kann man das beweisen?

Beweisen kann ich es erstmal nicht, aber die Vermutung bei einem ld*.tmp Eintrag im generierten 1024 Ordner im System32-Ordner legt es schon sehr nahe, und es verwundert mich schon etwas das du da nicht drauf gekommen bist.

Also, da du dich zuerst dem TE angenommen hast ziehe ich mich hiermit zurück, und bitte dich in Zukunft die von mir übernommenen Threads mit Kommentaren zu verschonen, es sei denn du hast wirklich was zu sagen.

Grüße Wildone

Bitte um Hilfe wegen infect

Log-Analyse und Auswertung: Bitte um Hilfe wegen infect