Wurm Trojaner o.ä. weiß keine Lösung mehr!!!

indian · 04.06.2004, 09:39

Hallo habe seit Pfingsten irgendeinen Wurm oder Trojaner auf meinem Rechner und bekomme ihn nicht herunter. Ach ja vorab habe bei Computern nur eine mittlere Begabung, ich bitte das bei einer Antwort zu berücksichtigen. Also die Story. Nach einer Inet-verbindung habe ich meinen Arcor isdn Zugang beendet und ein wenig gezockt, doch das spielen wurde immer wieder unterbrochen, ständig öffnet sich eine Netzwerkverbindung und ich soll bestätigen das ein Prog eine Verbindung mit merkwürdigen IP aufnimmt. Hatt AntiVirPE XP drauf, aber auch nach Update kein Fund -> also deinstalliert und Norton gekauft. -> NAV auch nach neusten Update keine Funde (im abgesicherten Modus gescannt usw.) dann Systemwiederherstellung deaktiviert und nochmal abgesichert gescannt -> keine Chance. Dann Outpost Firewall installiert und die Anwendungen blockiert siehe dazu LOG von Outpost
10:36:24 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:24 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:22 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:21 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:20 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:19 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:18 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:17 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:16 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:15 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:14 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:13 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:12 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:11 SYSTEM ICMP 62.224.34.86 Echo Request (Quelle gibt Antwort auf ein Echo Reply)/0 ICMP-DAtenverkehr
10:36:11 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:10 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:09 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:08 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:07 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:05 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:05 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:03 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:03 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:36:01 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:36:00 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:59 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:58 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:57 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:56 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:55 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:54 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:53 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:52 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:51 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:50 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:49 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:48 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:46 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:46 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:44 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:44 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:42 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:42 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:40 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:39 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:38 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:37 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:37 NETBIOS TCP 62.224.246.60 3421 NetBIOS-Datenverkehr blockieren
10:35:36 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:35 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:34 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:33 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:32 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:31 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:30 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:29 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:27 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:27 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:25 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:25 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:23 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:22 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:20 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:20 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:18 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:18 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe
10:35:16 wkssvr.exe TCP 127.0.0.2 6667 Aktivität für diese Anwendung blockieren wkssvr.exe
10:35:16 ssms.exe TCP 255.255.255.255 5454 Aktivität für diese Anwendung blockieren ssms.exe

Dann HijackThis aufgespielt und jetzt keine Ahnung mehr.

Siehe hier

Logfile of HijackThis v1.97.7
Scan saved at 10:26:50, on 04.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\SerExt.exe
C:\WINDOWS\System32\Dialerblocker.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\McAfee\QuickClean\PlgUni.exe
C:\WINDOWS\System32\ssms.exe
C:\WINDOWS\System32\wkssvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Alte Festplatte\e\viren\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.formel1pilot.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CSBrBHO - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRAMME\COMET\INSTALL\TEMP\BRBHO12A.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKLM\..\Run: [{D35055FB-6715-463c-B944-840F815E59D4}] C:\WINDOWS\System32\Dialerblocker.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - Global Startup: Call Tray.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...032.0268055556
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Bitte bitte

Hilfe

rock · 04.06.2004, 09:42

auf die schnelle hast du hier bereits schon 2 viren.../backdoors in dem fall...
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe

gruss
rock

un den sasser obendrein....

ich denke da wird's mühsam was zu retten!

indian · 04.06.2004, 09:44

Danke die blockiere ich auch manuell mit Outpost, nur warum findet NAV die denn nicht!

rock · 04.06.2004, 09:48

scheinabr hast du auf ein verseuchtes ungepatches system den norton draufgeknallt, und daher ist er im eimer!

ich würde dir wirklich raten zu formatieren, ich glaube nciht das du das jemals wieder ohne schäden hinbiegst.

würde dir wirklich gerne helfen!
schau ob du die windowspatch noch reinbekommst die fehlen (die wichtigen!!) dann versuch im abgesicherten modus jetzt nochmal einen fullscan mit norton, wenn das erfolglos bleibt, wäre ncoh eine onlinescan möglich...

gruss
rock

wie bekommt man so ne ladung sch* auf den rechenr, ist immer gewaltig...sorry, du hast wirklich einen schmarren beinander!

indian · 04.06.2004, 09:50

Habe die neusten Windows Updates aufgespielt!

rock · 04.06.2004, 09:51

okey, ich schau mir an was du fixen musst, moment bitte... (wenn nicht jemand schon da ist der dir weiterhilft!!)

rock

indian · 04.06.2004, 09:54

Danke

rock · 04.06.2004, 09:57

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\SerExt.exe (SerExt.weis ich nicht! sicherheitshalber stehen lassen, könnte siemens telefon sein o.ä.)wenn nicht WEG!
C:\WINDOWS\System32\wkssvr.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Mannesmann Arcor (FALLS NICHT SELBST GEWÜNSCHT)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug (gehört zu siemens wenn wahr?) ansonsten WEG!
O4 - HKLM\..\Run: [{D35055FB-6715-463c-B944-840F815E59D4}]
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - Global Startup: Call Tray.lnk = ?

das fixen!

edit: sorry, das auch so wie's klingt!!:
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

[ 04. Juni 2004, 11:02: Beitrag editiert von: rock' ]

rock · 04.06.2004, 10:06

bezüglich lsass und allgemein hab ich eine frage an dich.

erhaltest du ein shotdownfenster, wo du den hinweis bekommst, das dein system in 45 oder 55 oder 60 sek. runtergefahren wird??

gruss
rock

vielleicht schaffen wir's

edit: da ist noch ein link für'n onlinescan:
http://de.trendmicro-europe.com/ente...all_launch.php

indian · 04.06.2004, 10:14

So eine Datei ließ sich nicht fixen C:\WINDOWS\System32\SerExt.exe Herausgeber ist Siemens, ich denke die Datei gehört zu meiner ISDN Anlage.

Logfile of HijackThis v1.97.7
Scan saved at 11:12:37, on 04.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\SerExt.exe
C:\WINDOWS\System32\Dialerblocker.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\McAfee\QuickClean\PlgUni.exe
C:\WINDOWS\System32\ssms.exe
C:\WINDOWS\System32\wkssvr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Alte Festplatte\e\viren\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.formel1pilot.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CSBrBHO - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRAMME\COMET\INSTALL\TEMP\BRBHO12A.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [{D35055FB-6715-463c-B944-840F815E59D4}] C:\WINDOWS\System32\Dialerblocker.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...032.0268055556
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1F71D4-0CBB-404C-AEDD-DAD4F87DB6DD}: NameServer = 217.237.151.97 194.25.2.129

indian · 04.06.2004, 10:15

Nein ein Shutdown Fenster erhalte ich nicht!

indian · 04.06.2004, 10:20

edit: sorry, das auch so wie's klingt!!:
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

Dies ist doch für mein Main Board oder habe einen nForce Chip Satz (ich hoffe das stimmt) hä

rock · 04.06.2004, 10:23

kein shotdownfenster ist schon mal gut.
hast du die systemwiederherstellung noch deaktiviert. wäre schon ratsam wenn sie deaktiviert bleibt!

ich vermute das ein onlinescan wenn's klappt wesentlich schneller ist, wie deine "beleidigte" software...immerhin war dein system schon von trojanern befallen, nachdem du norton installiert hast...

verwende bitte den link aus dem vorigen posting und mach den onlinecheck. gegebenfalls kannst du damit desinfizieren/löschen.

zwischendurch bitte mal die temp.internetfiles incl.offlineinhalte löschen....

gruss
rock

rock · 04.06.2004, 10:29

</font><blockquote>Zitat:</font><hr />Original erstellt von indian:
edit: sorry, das auch so wie's klingt!!:
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r

Dies ist doch für mein Main Board oder habe einen nForce Chip Satz (ich hoffe das stimmt) hä </font>[/QUOTE]ja, könnte was davon stimmen...wird aber als Spyware indentifiziert.
aber lass es doch sicherheitshalber steehn wenn du meinst, oder hol es aus dem backup vom HijackThis zurück, damit nichts an der graphik kaputtgeht...können wir uns später meinetwegen noch eingehender anschauen...

gruss
rock

NVIDIA nForce Taskbar Utility. sstray.exe is located in "C:\WINDOWS\SYSTEM\" on Windows 95/98/ME, "C:\WINNT\SYSTEM32\" on Windows NT/2000 and "C:\WINDOWS\SYSTEM32\" on Windows XP.

File sstray.exe removal: gibt's eigens ein removaltool..bzw. spywarescanenr der das bemängelt und entfernt!

This file might be related to spyware. We advice you to scan your computer and eliminate possible threats.

indian · 04.06.2004, 11:26

So, jetzt habe ich den Online Scan durchgeführt und dabei ist der Sasser A gefunden worden. Ich habe ihn dann über Löschen runtergehauen. So sieht jetzt mein Log aus

Logfile of HijackThis v1.97.7
Scan saved at 12:22:45, on 04.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\Dialerblocker.exe
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\McAfee\QuickClean\PlgUni.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\SerExt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Alte Festplatte\e\viren\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.formel1pilot.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: CSBrBHO - {96DA5BEE-4ACC-476C-B3EC-54C6730C4293} - C:\PROGRAMME\COMET\INSTALL\TEMP\BRBHO12A.DLL (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [{D35055FB-6715-463c-B944-840F815E59D4}] C:\WINDOWS\System32\Dialerblocker.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner\RivaTuner.exe" /S
O4 - HKLM\..\Run: [Imonitor] "C:\Programme\McAfee\QuickClean\PlgUni.exe" /START
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [SerExt] SerExt.exe /unplug
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Trashcan (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU)
O12 - Plugin for .pca: C:\PROGRA~1\INTERN~1\PLUGINS\nppcaplg.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...032.0268055556
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Wurm Trojaner o.ä. weiß keine Lösung mehr!!!

Plagegeister aller Art und deren Bekämpfung: Wurm Trojaner o.ä. weiß keine Lösung mehr!!!