Hi, Leute!

Ich weiß wirklich nicht an wen ich mich wenden soll, also versuche ich es bei euch Ich habe keine Lösung für mein recht schwieriges Problem ergooglen können.

System: XP Personal SP1

Also mal zur Vorgeschichte: ich surfe mit dem IE in etwas dubioseren WWW-Gewässern, plötzlich eine Popup-Attacke, ein kleines Fenster öffnet sich, ein automatischer Download beginnt, als dieser fertig ist, öffnet sich das Sun Java Applet. Ich trenne die Verbindung zum Internet und lasse Adaware, Spybot und AntiVir drüber laufen. Es wird einiges gefunden und gelöscht. Neustart -> nun beginnt die Misere. ZoneAlarm startet nicht mehr (der Client läuft zwar - wie der Task Manager meint - aber das Symbol ist weg). Also wollte ich das Programm deinstallieren -> ging nicht, weil "die Datei vsmon.exe nicht geöffnet werden konnte". Also habe ich mich für eine manuelle Deinstallation entschieden - die auch ganz gut klappte, bis ich eben die vsmon.exe im Windows-Ordner System32/ZoneLabs löschen wollte. Die war absolut hartnäckig. Obwohl ich schon ALLE Registry Einträge dazu gelöscht habe (also auch die TrueVector...), wurde die ominöser Weise immer noch gestartet. Und ich konnte ZoneAlarm auch nicht neu installieren, da das Setup meinte, es könne den TrueVector-Dienst nicht beenden. Außerdem konnte ich immer nur für 5 oder 10 Minuten surfen, danach wurde nichts mehr übertragen. Dann half nur ein Neustart. vsmon.exe konnte ich dann endlich mit den UNLOADER aus dem Speicher kicken und löschen. Darauf habe ich dann ZoneAlarm neu installiert. Mit dem Ergebnis, dass nach dem Neustart ein ähnlicher Zustand wie vorher herrscht. Kein Symbol in der Taskleiste, der zlclient.exe wird immer wieder aus dem Speicher gehauen, auch wenn ich ihn manuell starte, Deinstallation ist aufgrund der vsmon.exe nicht möglich. Und: unter Dienste lässt sich der TrueVector Internet Monitor weder deaktivieren (Zugriff verweigert), noch starten (Fehler 32: wird von anderen Prozess benutzt). Also irgendetwas ist mit der vsmon.exe - und das seitdem ich mir etwas eingefangen habe... vielleicht liegt das Ganze ja auch nicht an einem Trojaner o.a.

Naja, sei es, wie es sei, hier das Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 02:56:38, on 22.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\System-Tuning\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Alle\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Tools\FreshDownload\fdcatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [EPSON Stylus CX6400] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX6400" /O6 "USB001" /M "Stylus CX6400"
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Video\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] C:\System-Tuning\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download &All by FD - file://C:\Tools\FreshDownload\fdiectx2.htm
O8 - Extra context menu item: Download with &FD - file://C:\Tools\FreshDownload\fdiectx.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/01de49cc4bdabbfcdb16/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127842145671
O17 - HKLM\System\CCS\Services\Tcpip\..\{112154E5-AA54-446C-85DD-DD0CFA7C639F}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{8660EB0F-A9F3-4C6C-A63A-16452C508850}: NameServer = 217.237.149.225 194.25.2.129
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C8AE48A-5588-4542-A0B6-D009CB63F8E4}: NameServer = 85.255.115.3,85.255.112.12
O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/FoxServ/mysql/bin/mysqld-nt.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Unknown owner - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

Vielleicht ist was zu finden, ich bin nämlich etwas am verzweifeln...

mfg
bekay

@bekay

Zitat:

System: XP Personal SP1

Bist du wirklich stolz, kein SP2 installiert zu haben?

Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Als Folge- gehijackter IE

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{112154E5-AA54-446C-85DD-DD0CFA7C639F}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C8AE48A-5588-4542-A0B6-D009CB63F8E4}: NameServer = 85.255.115.3,85.255.112.12

+ starker Backdoor-Verdacht

Zitat:

O20 - Winlogon Notify: avpi32 - C:\WINDOWS\SYSTEM32\avpi32.dll

Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen.

Zitat:

Zitat von Rene-gad

@bekay

Bist du wirklich stolz, kein SP2 installiert zu haben?

Als Folge- gehijackter IE

+ starker Backdoor-Verdacht

Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen.

Die Frage des Stolz-Seins - ja eine rein rhethorische - die wohl impliziert, dass ich mich schämen sollte, ist etwas fehlgeleitet. Dass ich da lahmarschig war, ist von mir aus eine Frage der Vernunft, aber nicht der Moral. Also bitte keine emotionalen Übergriffe...

Ich weiß zwar, dass meine Lösung, die ich nun durchgeführt habe, nicht gerade befürwortet wird, aber sei es drum: Habe die Hijacker gelöscht, genau wie die Trojaner - alles manuell. Zonealarm läuft wieder, SP2 ist auch drauf, es wird nur noch Firefox benutzt... außerdem werde ich die Tipps im Neuaufsetzen-Thread beherzigen. Ich versuche es ersteinmal so. Mal sehen, wenn es nicht funktioniert, werde ich wohl schon C: formatieren! Aber daran will ich jetzt erst einmal nicht denken.

Wollte mal fragen: was für ein Anti-Virus-Programm/Sicherheitsprogramm ist denn derzeit das Beste? Muss keine Freeware sein...

bekay

@bekay

Zitat:

werde ich wohl schon C: formatieren! Aber daran will ich jetzt erst einmal nicht denken.

*schrei*
Rene-gad meinte "Bitte der Anleitung zum Neuafsetzen (Link in meiner Signatur) folgen." - hast du´s dir mal durchgelesen?

Zitat:

Wenn auf einem System eine Malware, wie z.B. ein Backdoor Trojaner oder ein Wurm mit Backdoor Funktionalität installiert und diese auch aktiv wurde, dann spricht man von einer Kompromittierung (Bloßstellung) des Systems. Dies hat zur Folge, dass alle Dateien (insbesondere AV Anwendungen) manipuliert werden können und somit die sensiblen Daten des Benutzers bzw. Systems als bekannt anzusehen sind.
Das System als solches ist folglich nicht mehr vertrauenswürdig, da die Möglichkeit des Fernzugriffs durch Dritte besteht.

.... was sich dann aber auf das system bezieht, welches er neu installiert.

oder meinst du es hätte sich was auf alle partitionen verfrachtet?
falls ja - wie würde das dann gestartet werden, wenn die primäre infektion aufgelöst wurde?

!!theoretisch!! würde es reichen XP einfach neu zu installiere, davor internetstecker raus - sp2 drauf - stecker rein - windows update machn.

Eine viel interessantere Frage: wer wertet die Daten von meinem Computer aus? Das würde mich mal viel eher interessieren...

@Markus123
Immer feste druff ? So einen Blödsinn auch noch erzählen.........
@bekay
Frage den Cracker doch,er ist derjenige der weiß oder wissen sollte warum er deine Kiste einkassiert hat und für was er sie benutzen will.
Sag ihm aber, er solle eine ehrliche Antwort geben..........
Irrlicht

Ich habe mich an die Anleitung gehalten und surfe gerade mit dem eingeschränkten Konto - das ist zwar ne schöne Idee, hat aber einen gewaltigen Haken: die meisten Einstellungen werden nun getrennt behandelt. Es handelt sich ja nicht um unterschiedliche Konten aufgrund anderer Personen. So lade ich z.B. eine Setup Datei auf den Desktop, wechsel den Benutzer zum Admin (um zu installieren), natürlich ist sie nicht da - sind ja andere Konten ergo andere Ordner in "Dokumente&Einstellungen". Genauso bei den Anwendungsdaten von Programmen, auf die ich gleichermaßen von den zwei Konten zugreifen will, um nicht alle Einstellungen umständlich doppelt einzugeben. wäre es möglich, die Einstellungs-Ordner der Konten auf einen Ort "umzuroten" ... so ist das ja unerträglich umständlich!

@bekay
du sagst, du hast dich an die anleitung gehalten - hast du neuinstallaiert?
oder nur eingeschränktes konto usw erstellt?

das mit den benutzerkonten ist nicht schwer - wenn du dein system neu aufgesetzt hast und dich an die anleitung gehalten hast, dann ist das einfachste, du richtest dir den pc ein (treiber, aussehen usw), dann erstellst du ein neues admin-konto und von dem neuen admin-konto aus änderst du das eingerichtete konto in ein eingeschränktes.
fertig.
jetzt kannst du mit dem schon eingerichteten (in eingeschränkt geänderten) konto im internet surfen, und das neue uneingerichtete adminkonto nimmst du eben nur für einstellungen/installationen usw.

zum thema desktop - wenn du was runterlädst, dann speichere es einfach in einen ordner, auf den alle konten zugriff haben.
zb einen ordner "DOWNLOADS" auf (?)C: , und auf dem "admin-desktop" und auf den "benutzer-desktop"(eingeschr.) legst du eine verknüpfung.
der verknüpfung kannst du dann ein anderes bildchen geben, dann sieht das auch besser aus

so. allerdings, wenn du nen backdoor auf deinem rechner hast, und noch nicht neuinstalliert hast, dann wäre das ganze wahrscheinlich sinnfrei.


@irrlicht
weisst du zufällig, ob es funktioniert, wenn man -
1. nur ein konto (admin)
2.konto einrichten
3.zweites admin-konto erstellen
4.eingerichtetes konto ändern in eingeschränkt
5.damit das neue adminkonto die selben einstellungen usw hat, die ordner von "dokumente und einstellungen" von >eingerichtet< zu >neuem adminkonto< kopieren
müsste ja funktonieren, oder? (nein, ich mach keine experimente )

Hallo,

Zitat:

Zitat von cotton

@irrlicht
weisst du zufällig, ob es funktioniert, wenn man -
1. nur ein konto (admin)
2.konto einrichten
3.zweites admin-konto erstellen
4.eingerichtetes konto ändern in eingeschränkt
5.damit das neue adminkonto die selben einstellungen usw hat, die ordner von "dokumente und einstellungen" von >eingerichtet< zu >neuem adminkonto< kopieren
müsste ja funktonieren, oder? (nein, ich mach keine experimente )

bin ja nicht Irrlicht,, aber was hast Du vor? Was bleibt ist ein(1) Admin Konto, also wozu diese Gedankensprüge?

Gruß

Schrulli

Zitat:

bin ja nicht Irrlicht

mach ja nüscht
...
ich meinte natürlich in "dokumente und einstellungen" die ordner von
"xy"(eingerichtet und als eingeschränkt geändert)
nach
"cv"(admin neu erstelltes konto)
kopieren(ersetzen).
damit emails, einstellungen usw in dem uneigerichteten konto sind.

Zitat:

Was bleibt ist ein(1) Admin Konto

nö. sind doch zwei konten erstellt.
, oder wie jetz

*edit*
ok, das mit den emails in quatsch. habs gerade gelesen - http://www.trojaner-board.de/showthread.php?t=26256
(thema ist übrigens auf diese 2 treads verteilt)

Hallo,

wenn Du die ganzenn Registry Einträge dann auch "umbiegst" könnte es vlt. funktionieren, aber wohl erst nach viel Arbeit.

Gruß

Schrulli

ahhh, die registry .... das lass ich da mal lieber
also geht nicht einfach so. ok.
danke.

Zitat:

Zitat von cotton

@bekay
du sagst, du hast dich an die anleitung gehalten - hast du neuinstallaiert?
oder nur eingeschränktes konto usw erstellt?

das mit den benutzerkonten ist nicht schwer - wenn du dein system neu aufgesetzt hast und dich an die anleitung gehalten hast, dann ist das einfachste, du richtest dir den pc ein (treiber, aussehen usw), dann erstellst du ein neues admin-konto und von dem neuen admin-konto aus änderst du das eingerichtete konto in ein eingeschränktes.
fertig.
jetzt kannst du mit dem schon eingerichteten (in eingeschränkt geänderten) konto im internet surfen, und das neue uneingerichtete adminkonto nimmst du eben nur für einstellungen/installationen usw.

zum thema desktop - wenn du was runterlädst, dann speichere es einfach in einen ordner, auf den alle konten zugriff haben.
zb einen ordner "DOWNLOADS" auf (?)C: , und auf dem "admin-desktop" und auf den "benutzer-desktop"(eingeschr.) legst du eine verknüpfung.
der verknüpfung kannst du dann ein anderes bildchen geben, dann sieht das auch besser aus

so. allerdings, wenn du nen backdoor auf deinem rechner hast, und noch nicht neuinstalliert hast, dann wäre das ganze wahrscheinlich sinnfrei.

Oh Danke, das ist natürlich schön zu wissen, das man eben zu erst den Admin konfiguriert, dann einen neuen Admin erstellt und von da aus den alten einschränkt. Jetzt habe ich schon zwei Konten (und ja, ja - nach einem Format C: ... hat alles wunderbar geklappt, PC schnurrt wie ein Kätzchen) und irgendwie schon so eine Art Misch Masch - aber ich denke, ich werde deinen Tipp beherzigen und das eingeschränkte Konto löschen und dann alle wichtigen Einstellungen und Setups im Admin vornehme, um den dann später runterzustufen - hier ( http://www.trojaner-board.de/showthread.php?t=26256 ) habe ich ja einen neuen Thread aufgemacht!

Zitat:

Zitat von cotton

mach ja nüscht
...
ich meinte natürlich in "dokumente und einstellungen" die ordner von
"xy"(eingerichtet und als eingeschränkt geändert)
nach
"cv"(admin neu erstelltes konto)
kopieren(ersetzen).
damit emails, einstellungen usw in dem uneigerichteten konto sind.

Zubehör -> Systemprogramme -> Übertragen von Dateien und Einstellungen ... hier kannst du die wichtigsten Windows Einstellungen (auch Outlook etc.) auf ein anderen Konto mitnehmen!