ich habe "wswsa.exe" (<- windows\system32) auf dem rechner (gehabt?). das ding scheint ne menge zu suagen und mit sich zu bringen. wird z.b. von avg noch erkannt. kasper...hat es erkannt mich gewarnt und weiß ich wieviele zugriffe auf dem netz von "lovesan" abgewehrt.

dann habe ich mit dem programm "autorun" im abgesichteren modus, die programme abgestellt, die ich damit in verbindung bringen konnte. war hauptsächlich besagtes.

danach habe ich neugestartet und kasper... hat noch was gefunden: windows\system32\i <- wurde angeblich gelöscht.

ich komme aber nicht mehr ins netz mit dem rechner. irgendwas stimmt da noch nicht. wahrscheinlich bin ich noch nicht fertig.

würde jemand sich meine logfile ansehen und mir sagen was da los ist?

Logfile of HijackThis v1.99.1
Scan saved at 19:10:59, on 15.01.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
E:\Programme\iTunes\iTunesHelper.exe
E:\Programme\QuickTime\qttask.exe
E:\WINDOWS\System32\ctfmon.exe
E:\WINDOWS\System32\svchost.exe
E:\Programme\iPod\bin\iPodService.exe
E:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [ccApp] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] E:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LWBMOUSE] E:\Programme\iWare\iWare Mouse\3.2\MOUSE32A.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KAVPersonal50] "E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = E:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - E:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - E:\WINDOWS\web\related.htm
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - E:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - E:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - E:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Kaspersky Lab - E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Hallo,

Dein Log File sieht normal aus, allerdings fehlen Dir Updates.
Lade Dir in Zukunft alle Updates für Dein OS runter.

Gruß

Schrulli

Hi, hier muß ich mich einmischen:
Du hast einen aktiven Backdoor-Trojaner auf deinem System, das nun nicht mehr dir gehört.
Es handelt sich um RBot-BFN,
der u.a. folgendes macht:
W32/Rbot-BFN läuft kontinuierlich im Hintergrund und stellt einen Backdoor-Server zur Verfügung, der einem remoten Eindringling den Zugriff auf und die Steuerung über den Computer mittels IRC-Kanälen ermöglicht.
Das bedeutet für dich, daß es am sinnvollsten ist, das System neu aufzusetzen.
cacatoa

Hallo,

@ cacatoa: Du hast recht
@ zewa : Sorry hab ich mal glatt nicht gelesen!

Zum Glück wird hier meistens gegengelesen.

gehabt

Gruß

Schrulli

mist...und ich hatte schon hoffnung, dass es doch einfacher ging als gedacht.

neu aufsetzen? kann ich da gleich hier noch was zu fragen? wenn ich 2 partitionen habe, kann ich datein dann auf der einen, auf der ein anderes system ist, packen um sie zu sichern? hab keinen brenner, ist ein sehr alter rechner mit vielen gesammelten daten...

die frage ist also, wenn ich E platt mache, kann c bleiben und meine privaten dateien bleiben erhalten?

Zitat:

Du hast einen aktiven Backdoor-Trojaner auf deinem System, das nun nicht mehr dir gehört.

dumme frage - aber woran merkst du das?

hallo zewa,

wenn es bilder,musik usw sind sollte dies klappen.
aber trotzdem vorm wieder draufspielen einen virenscanner drüberlaufen lassen.

@markus

guckst du hier:

O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe

dies ist der trojaner..

OK :-) @hoerni, ich versuche es einfach mal.

@markus: wie meinst du deine frage? bitte etwas konkretisieren

edit: hoppla ...hoerni hat schon geantwortet.

soso .. danke

trotzdem glaube ich nicht daran, dass dieses sicherheitsloch unstopfbar ist ...
ich werd mich mal versuchn n bissl schlau zu machen

wie meinst du das denn nun??
welches sicherheitsloch willst du stopfen??
werd genauer bitte..

Der Trojaner öffnet ein Hintertürchen, das auch nach seinem entfernen offen bleiben soll.

So hab ich es verstanden

Ich glaubÄ halt, dass man auch nachträglich das Türchen schließen kann.
Das wird hier ja so dramatisiert ... whui

also ich hatte anweisungen gefunden bei denen das ding aus dem autostart genommen werden sollte und dann gelöscht.

bei dem was ich bisher gemacht habe, funktionierte hinterher die internetverbindung nicht mehr, d.h. konnte ich mich zwar einwählen, aber leider nichts auf oder abrufen...

wenn es eine möglichkeit gibt das system nicht Neuaufsetzen zu müssen wäre ich zwar dankbar, ahne aber schon, dass es wohl nicht anders gehen wird.

es gibt keine sichere lösung ausser das Neuaufsetzen des systems..
setze es neu auf und sichere es ordentlich ab,damit soetwas nicht mehr passiert.

ah stop .. für das problem mit der verbindung habe ich ne lösung ...

http://www.softpedia.com/progDownloa...oad-15337.html

funktioniert einwandfrei ..