Hallo allerseits,

bin heute das erste Mal in einem Forum und bitte vorbeugend um Nachsicht für möglicherweise etwas „unfachmännisch“ formulierte Fragen . Also, ich habe das folgende Problem, bei dem mir vielleicht jemand helfen kann:

Ich bzw. mein Rechner sah sich vor zwei Tagen einem Virus-Angriff ausgesetzt . AntiVir sprang an, ich habe sofort die Internetverbindung gekappt und den Virus (blöder Weise weiß ich den Namen nicht mehr) überschrieben und gelöscht.

Beim nächsten Start von Windows (XP) bemerkte ich zunächst, dass ein Fenster (früher nannte man das wohl „DOS Eingabeaufforderung“ oder so) aufging, etwa 30 Sekunden geöffnete blieb, dann ein „ok“ in der Eingabeaufforderung erschien und sich selbiges schloss. In dem Balken über dem Fenster steht „c:\windows\system32\netsh.exe“.

Dann stellte ich Fest, dass eine neue Startseite eingerichtet war, und zwar http://lookfor.cc/?pin=77035.

Tja, und als ich den Task-Manager starten wollte, konnte ich lesen, dass „Der Task-Manager wurde durch den Administrator deaktiviert“ war.

Seit etwa dieser Zeit kann ich auch keine Pdf-Dateien mehr ansehen, ohne dass sich die Buchstaben – während das Dokument (zuerst noch lesbar) geöffnete ist – in Zahlen in kleinen Kreisen verwandeln.

Nun gut. Ich habe http://lookfor.cc/?pin=77035 mit hijack this gefixt und wieder meine alte Startseite.

Den Task-Manager kann ich benutzen, wenn ich unter Start/Ausführen/regedit/Enter

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

oder (eines von beiden – ich weiß es nicht mehr genau)

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystemDisableTaskMgr

Lösche.

Aber: Irgendwie stellt sich alles wieder zurück – auch ohne Neustart. Das heißt, das Problem ist noch nicht behoben. AntiVir fand zunächst nichts, und auch NOD32 nicht. Komischerweise sprang allerdings AntiVir (obwohl deaktiviert) beim NOD32 Scan an und meldete den Trojaner TR/Dldr.Age.abs.1.A. Habe ich überschrieben und gelöscht. Aber das Problem mit dem Task-Manager und dem „Eingabefenster“ besteht weiterhin. Nun habe ich natürlich das ungute Gefühl, da werkelt noch was auf meinem Rechner herum.

Dann ist mir aufgefallen, dass die Dateien c:\windows\system\config default, sam, scurity, software und system samt LOG-Dateien von AntiVir nicht gescant werden können. Wenn ich den Task-Manger öffnen wollte, veränderte eine LOG-Datei (welch, weiß ich nicht mehr) ihre Größe von 1 KB auf 16 KB und dann wieder auf 1 KB. Da passierte also irgendetwas. Kann das was mit meinem Problem zu tun haben? (Jetzt tritt dieses Phänomen übrigens nicht mehr auf!)

Die Hijjack.de – Logfile-Auswertung ergab, dass

O17 - HKLM\System\CCS\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B4AB3AB-2654-4A2A-80D0-13A41B5980FB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82

als gefährlich einzustufen seien. Habe ich gelöscht.

So, jetzt endlich meine Fragen:

1) Deuten die Probleme auf Spyware hin und wenn ja, auf welche?

2) Wenn nein: Wie kann ich die Probleme – DOS-Fenster, Task-Manager - dauerhaft beheben?

3) Hat jemand eine Idee, warum ich meine Pdf-Dateien nicht mehr lesen kann?

4) Kann man die c:\windows\system\config default, sam, scurity, software und system samt LOG-Dateien irgendwie aus Spyware überprüfen?

5) Falls TR/Dldr.Age.abs.1.A. an allem Schuld ist: Gibt es über den Trojaner Infos? Habe nämlich im Netz keine gefunden.

So, sorry für die lange Anfrage, hoffe, ich verstoße damit nicht gegen eure Forums-Regeln!

Beste Grüße,

Virenmagnet

Hallo,
also erstma wäre ein komplettes HijackThis logfile gut ,
da man sich nicht auf die automatische Auswertung verlassen sollte.
Dateien kannst du hier auf Viren prüfen.
Kannst anschließend ja das Ergebnis posten.

Danke für die schnelle Antwort!

Das komplette Logfile sieht so aus:

Logfile of HijackThis v1.99.1
Scan saved at 17:24:26, on 29.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WLAN Monitor\wlconfig.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\per.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\Helge\LOKALE~1\Temp\Temporäres Verzeichnis 4 für hijackthis_199.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\per.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Programme\ScanSoft\NaturallySpeaking\Program\natspeak.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B4AB3AB-2654-4A2A-80D0-13A41B5980FB}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

Oh je,

habe gerade gemerkt, dass die soeben gefixten Einträge schon wieder da sind.

Tja, was kann man da machen???

Beste Grüße,

Virenmagnet

Zitat:

Zitat von Virusmagnet

Oh je,

habe gerade gemerkt, dass die soeben gefixten Einträge schon wieder da sind.

Tja, was kann man da machen???

Beste Grüße,

Virenmagnet

Den Ursprung dieser Einträge ausmachen und

So, und wenn ich die Dateien, die ich in Verdacht habe, über die von Dir angegebene Seite checken lassen will, sagt man mir "The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file."

Firewall oder Malware, dass ist ja nicht ganz unerheblich. Und ich würde die Firewall im monet iregendwie auch nicht so gern deaktivieren, solange ich nicht weiß, was sich da auf meinem Rechner tut!

Bitte um Rat,

Virenmagnet

Ich persöhnlich halte nicht viel von Firewalls.
Habe keine und ich denke die meisten hier auch nicht.
Also ich würde sagen nen Versuch ist es wert.
Aber es ist deine Entscheidung.

Prüfe diese Datei mal bei Jotti.Der Link dazu ist in meinem vorherigen Post.
C:\WINDOWS\system32\per.exe

Diese Einträge scheinen wiedergekommen zu sein:
O17 - HKLM\System\CCS\Services\Tcpip\..\{35048E45-C9AF-46CE-B204-18CF86A5DCBA}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B0E4FAA-CCD5-4182-878B-15B9C43DC778}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{906AF1EA-1881-42D3-AB09-12534ACE25B1}: NameServer = 85.255.114.20,85.255.112.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{20773F05-86AC-466C-A238-D94B5963A9CB}: NameServer = 85.255.114.20,85.255.112.82

Desweiteren solltest du nur 1 AVP mit aktiviertem Guard haben.