Hallo,

ich hatte nach vielem durchlesen hier mit hilfe von MWAV den search.exe rausschmeissen können, kann nun nix mehr schlimmes finden.

Ich hab allerdings immernoch ein kleines Problemchen, das noch nicht abgestellt ist.


ZoneAlarm-Meldungen:

Bei jedem starten von WIN:
Concony Multimediaiver versucht C:\WINDOWS\SYSTEM32\ddwin.exe oder ein anderes Programm zu verwenden, um Zugriff auf berechtigte Ressourcen zu erhalten.

Nur gelegentlich bei Start vom Editor oder irgend anderen Programmen:
EDITOR versucht mit hilfe von Windowsmeldungen mit EXPLORER.EXE zu kommunizieren, um Tastatureingaben zu dokumentieren.

Einige sporadische Meldungen ähnlich wie diese:
hijackthis.exe versucht durch öffnen mit dem Prozess ctfmon zu kommunizieren.
oft auch mit Prozess smss und csrss und spoolsv
betrifft nicht speziell hijackthis.exe sondern beliebige andere Programme.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 18:09:30, on 16.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\Programme\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trillian\trillian.exe
D:\hjt\1-99-1\hjt.exe
 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
 
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
         

ps:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}: NameServer = 205.188.146.145
das hier sagt mir nix, nur wenn ich diese Einträge mit HJT lösche, dann werden verschiedene Internetseiten einfach nicht mehr gefunden. Wenn ich den Eintrag wieder restauriere, gehen diese Seiten wieder.

Bitte um Hilfe oder Info, ob diese ZoneAalarm-Meldungen normaaal sind oder ob daran was faul ist.

Grüße
Oli

Soweit ich weiss gehört 205.188.146.145
zu AOL. (bin mir recht sicher).


Ich würds lasen

Hallo Oli,
das findest du folgendermaßen selbst heraus:Start >ausführen,eigeben cmd in das aufgehende Fenster schreibst du tracert machst ein leerzeichen und dann die IP genau abschreiben,dann enter
irrlicht

@Oli-8
Yep, sieht nach AOL aus.
EDITOR versucht mit hilfe von Windowsmeldungen mit EXPLORER.EXE zu kommunizieren, um Tastatureingaben zu dokumentieren.

gefällt mir nicht, scanne dein system bitte mit escan

chaosman

Hallo,
Danke erstmal für die Unterstützung.

zu der o.g. IP: anscheinend macht AOL einen Hehl daraus, siehe mein chatprotokol mit einem (extrem kompetenten) TechPro-AOL-Mitarbeiter:

Code: Alles auswählenAufklappen

ATTFilter

TECHPro ***:	Willkommen im AOL Hilfe-Chat  :)
TECHPro ***:	Hallo, mein Name ist ***, was kann ich für Sie tun?
:-)
ich________:	hallo gutenmorgen :D
ich________:	hab grad einige probleme mit dem rechner, vielleicht können sie
mir mit einem helfen:
ich________:	seit einiger zeit hab ich inder registry einen "komischen"
eintrag, der auf eine adresse hinweist:

ich________:	[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\Services\Tcpip\Parameters\Interfaces\{F80DEE3A-1D76-42EF-95EC-84B770162BEE}]
ich________:	"NameServer"="205.188.146.145"
TECHPro ***:	Tut mir Leid, aber das sagt mir gar nichts.
ich________:	können sie mir sagen/bestätigen, dass diese adresse 100% von aol
ist iund in ordnung ist?
TECHPro ***:	Tut mir Leid, aber das sagt mir gar nichts.
ich________:	205.188.146.145 ob das ein aol-server ist? können sie bitte mal
nachschauen :)
TECHPro ***:	Ich kann das nirgends nachschauen. Wenn Sie dadurch PC-Probleme
haben, lassen Sie einen Registry-Cleaner über das System laufen.
TECHPro ***:	Kann ich Ihnen noch eine weitere Frage beantworten? :-)
ich________:	ja hab ich ja schon. einige. problem dabei ist, dass wenn ich
diesen eintrag lösche, dass dann komischerweise keine suchmaschinen mehr
fuktionieren. google/lycos/yahoo usw werden nicht gefunden. andere
internetseiten schon
ich________:	hab halt den eindruck, dass alle suchanfragen gezwungen werden,
über diese adresse zu laufen, bevor sie an google gegeben werden. deshalb die
frage, ob das 100% ein aol-server ist oder ein fake bzw ein hacker-server
TECHPro ***:	Welches Betriebssystem nutzen Sie?
ich________:	win XP, SP2, IE6, SP2
TECHPro ***:	Um zu gewährleisten, dass Ihr Windows-System fehlerfrei
arbeitet, ist eine Reparatur des Systems notwendig. Schliessen Sie alle
Programme und legen Sie bitte Ihre Windows-CD ein.
TECHPro ***:	Klicken Sie bitte auf START -> AUSFÜHREN und tippen Sie dort
"sfc /scannow" ein. Klicken Sie bitte auf OK.
TECHPro ***:	Nun werden Ihre Systemdateien überprüft und - falls notwendig -
von der Windows-CD neu kopiert. Nach dem Vorgang starten Sie bitte Ihren
Rechner neu.
ich________:	aha? meinst ein windows-systemfehler?
TECHPro ***:	Wäre möglich. Ich kann da auch nur Vermutungen anstellen.
ich________:	vermutungen? so hab ichs auch....
ich________:	wo kann ich nach aol-servern suchen bzw gucken, ob die adresse von aol ist?
ich________:	bzw eine von aol
TECHPro ***:	Von AOL erhalten Sie normalerweise immer eine IP Adresse, die mit 172 beginnt.
ich________:	jaaa :)
ich________:	also aol hat ja auch eigene server-adressen, oder?
ich________:	ok was solls....
ich________:	werd ich halt mal (bei aol) anrufen müssen....
TECHPro ***:	Ja, aber davon gibt es keine Auflistung.
TECHPro ***:	Jedenfalls nicht offiziell. :-)
ich________:	hm? wird doch irgendwo eine offizielle stelle geben, wo
geschrieben ist, wer welche ip-bereiche hat? welche aol gehören, welche *.gov
sint etc?
TECHPro ***:	Es steht Ihnen natürlich frei, das Internet danach zu
durchsuchen, aber von mir erhalten Sie dazu keine Auskunft.
ich________:	also ich hab ja schon die bereiche 195.093.0.0 bis 195.093.127.254 frei geben müssen in der firewall, damit aol funktioniert. warum bekomm ich keine auskunft über aol-adressen? ist das ein geheimnis?
ich________:	ich mein eine zuverlässigere auskunft als von aol bekomm ich kaum wo anderst als hier im techpro-chat? dachte ich
TECHPro ***:	Die Adresse, die Sie da stehen haben, ist mir nicht bekannt.
ich________:	ja mir auch nicht. ist sie ein AOL-adresse?? Nur das ist die
frage! bitte bitte
ich________:	205.188.146.145 die
TECHPro ***:	Die Adresse ist mir nicht bekannt und ich kenne die
AOL-Adressen.
TECHPro ***:	ich meine die 205.188.146.145
TECHPro ***:	Kann ich Ihnen noch eine weitere Frage beantworten? :-)
ich________:	also nur damit ichs richtig verstehe: 205.188.146.145 ist aol-ip? JA oder nein
TECHPro ***:	Nach meinem Kenntnisstand: Nein.
ich________:	danke das wars schon,. schönen tag :D
TECHPro ***:	Vielen Dank für Ihren Besuch im TechPro. Ich wünsche Ihnen einen schönen Tag!
         

Anm1: das "sfc /scannow" hat nix gebracht.
Anm2: der reg-eintrag taucht auf, sobald AOL online ist.



Hab nun einen neuen escan gemacht, hier was die find.bat ausspuckt:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Funde für "infected" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun Dec 18 15:44:33 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Dec 18 15:44:33 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Sun Dec 18 16:32:16 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Dec 18 16:32:46 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\T-93[1].HTM.001
Sun Dec 18 16:32:46 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\T-93[1].HTM.VIR
Sun Dec 18 16:59:55 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Funde für "tagged" 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Sun Dec 18 16:59:55 2005 => Total Virus(es) Found: 2
Sun Dec 18 16:59:55 2005 => Total Errors: 70
Sun Dec 18 16:59:55 2005 => Time Elapsed: 01:16:38
Sun Dec 18 16:59:55 2005 => Total Objects Scanned: 81447
Sun Dec 18 15:42:06 2005 => Virus Database Date: 2005/12/13
Sun Dec 18 16:59:55 2005 => Virus Database Date: 2005/12/13
Sun Dec 18 17:00:01 2005 => Virus Database Date: 2005/12/13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~ © Haui ;-) ~~~~~~~ 
~~~~~~~ Dank an Cidre ~~~~~~~
         

Des weiteren hab ich bei einige Dateichen onlinescan gemacht. Scheint zwar soweit sauber (explorer.exe, ctfmon, csrss, spoolsrv usw..) allerdings beim editor.com ist was komisch:
kaspersky-opnlinescan meldet:; freispruch:
jotti meldet frispruch unter Vorbehalt:

Code: Alles auswählenAufklappen

ATTFilter

edit.com: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war.
Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation.
Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein.
Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt.
Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
         

Könnt Ihr dazu was sagen? was heisst das? Hab ich den neuesten Virus gefangen? Das wär ein zweifelhafter Ruhm....

Ein wirklich kompetenter AOL-Mitarbeiter:

Suchbegriff: 205.188.146.145
Adresse: whois.arin.net

Suchergebnis:

OrgName: America Online, Inc
OrgID: AMERIC-59
Address: 22080 Pacific Blvd
City: Sterling
StateProv: VA
PostalCode: 20166
Country: US

NetRange: 205.188.0.0 - 205.188.255.255
CIDR: 205.188.0.0/16
NetName: AOL-DTC
NetHandle: NET-205-188-0-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Assignment
NameServer: DNS-01.NS.AOL.COM
NameServer: DNS-02.NS.AOL.COM
Comment:
RegDate: 1998-04-18
Updated: 1998-04-27

RTechHandle: AOL-NOC-ARIN
RTechName: America Online, Inc.
RTechPhone: +1-703-265-4670
RTechEmail: domains@aol.net

Zitat:

Zitat von Oli-8

Hallo,
.......
Des weiteren hab ich bei einige Dateichen onlinescan gemacht. Scheint zwar soweit sauber (explorer.exe, ctfmon, csrss, spoolsrv usw..) allerdings beim editor.com ist was komisch:
kaspersky-opnlinescan meldet:; freispruch:


jotti meldet frispruch unter Vorbehalt:

Code: Alles auswählenAufklappen

ATTFilter

edit.com: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war.
Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation.
Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein.
Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt.
Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
         

Könnt Ihr dazu was sagen? was heisst das? Hab ich den neuesten Virus gefangen? Das wär ein zweifelhafter Ruhm....

*nach oben push*

Windows XP SP2 (WinNT 5.01.2600)
DOS sagt: windows\system32\edit.com, 04.08.2004, 13:00, 71.022 Bytes
Explorer sagt:
Größe 69,3 KB (71.022 Bytes)und
Größe auf Datenträger: 72,0 KB (73.728 Bytes)

Code: Alles auswählenAufklappen

ATTFilter

Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)  
~~~~~~
Entdeckte Packprogramme:  EXEPACK 
~~~~~~
AntiVir  Keine Viren gefunden 
ArcaVir  Keine Viren gefunden 
Avast  Keine Viren gefunden 
.
.
.
         

Kann mir niemand was zu Jotties "unkonkreter" Meldung was dazu sagen?
Oder mal jemand bitte vergleichen und sein eigenes windows\system32\edit.com an Jotti schicken zum gucken, ob die selbe Meldung kommt?
Wenn ja, dann wüsst ich, dass mein edit.com ok ist.
Wenn nein, dann ist was faul...


Und was bedeutet

Code: Alles auswählenAufklappen

ATTFilter

System found infected with cws.therealsearch
         

der CWS.shredder findet nämlich nix zum shreddern

Lieben Danke im voraus
Oli