Hallo,
ich hab ein ernstes Problem, mein PC hat seit einigen Tage ein Problem, so wie es ausschaut schließt sich der explorer immer wieder na einiger Zeit, dabei werden alle Programme beendet und nachher funktioniert nichts mehr so wie es sollte und alles ist sehr langsam, sogar das öffnen vom Arbeitsplatz dauert bis zu 20sec!!! Die antiviren Programme so wie Adwareblocker und alles andere zeigen keine Wirkung und finden auch nichts (alles ist aktualisiert!!!), bei Ad-Aware SE schaltet sich der PC sogar jedes mal ab, ohne herunterfahren !!! Ein anderes Problem habe ich auch noch, und es mag vielleicht damit zusammenhängen, also seit einiger Zeit, immer wenn ich den Internetexplorer öffne, öffnet sich gleichzeitig ein anderes Fenster, meistens mit der Werbung für Winfixer, und andere derartige Programme. Ich habe Windows XP drauf und verwende den PC eigentlich nur zum arbeiten, und deshalb ist es mir sehr wichtig, dass er weiter funktioniert und nicht formatiert werden muss, also wenn es möglich ist, dann helft mir bitte. Noch eines muss ich aber gestehen, ich weiß nicht wie man mit hijacker funktioniert, ich weiß nur man muss etwas posten aber ich weiß nicht einmal ob ich das schaffe also wenn jemand ne Idee hat, dann bitte beschreibt es mir genau was ich machen soll.

Danke schön an Alle !!!

Hi....

Kann dir eigendlich nicht helfen. Wollte nur fragen, wie ich einen "threat" öffnen kann. Habe da selber ein Problemchen...



Gruss Chris

Hallo Thorgal,
eine Anleitung um ein Log von HijackThis zu erstellen findest du hier auf der Startseite unter "Anleitungen,FAQ,Links".
Es ist nicht schwer zu bewerkstelligen wenn man die Anleitung genau liest und sich auch daran hält.
Irrlicht

Hallo Irrlicht, danke für den Hinweis,
habe es gemacht obwohl während des Scans 3 fehler aufgetreten sind.
Also hier mal das log. File

Logfile of HijackThis v1.99.1
Scan saved at 21:02:49, on 07.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\JS32.exe
C:\Programmchen\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\ActiveSync\WCESCOMM.EXE
C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
C:\Programmchen\eMule.de\emule.exe
C:\Dokumente und Einstellungen\Thorgal\Startmenü\Programme\Autostart\proxy.exe
C:\Programmchen\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programmchen\ICQ\Icq.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\programmchen\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
F1 - win.ini: run=C:\windows\system32\msiexec16.exe
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - (no file)
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\vtsts.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [navsys] C:\WINDOWS\System32\JS32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmchen\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\ActiveSync\WCESCOMM.EXE"
O4 - Startup: eMule.de.lnk = C:\Programmchen\eMule.de\emule.exe
O4 - Startup: https-ports.txt
O4 - Startup: proxy.exe
O4 - Startup: proxy.log
O4 - Global Startup: PC Alert 4.lnk = C:\Program Files\MSI\PC Alert 4\PCAlert4.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\ActiveSync\INetRepl.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmchen\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programmchen\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .au: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vobis.at/
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-eu.com/viewers/ipixx.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540013} - http://adserver.sharewareonline.com/adserver/Install.cab
O16 - DPF: {3A08F8EE-93ED-11D6-8A35-0002442B5E80} (ASCON_DRAWFIELD.Workspace) - http://www.as-con.de/cab/ascon_df.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131561405187
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131561374578
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwicklung.de/scan/Msie/bitdefender.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game19.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game12.zylomgames.com/activex/zylomloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2017980C-FEB8-4855-BC7C-0591B6101801}: NameServer = 195.34.133.21,195.34.133.22
O20 - Winlogon Notify: jkkjk - jkkjk.dll (file missing)
O20 - Winlogon Notify: ssqpq - ssqpq.dll (file missing)
O20 - Winlogon Notify: vtsts - C:\WINDOWS\System32\vtsts.dll
O23 - Service: Microsoft SVHOST Configuration Service (a3) - - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programmchen\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programmchen\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Ich hoffe so stimmt es.
Erbitte weitere Instruktionen.

Danke Schön

Hallo Thorgal,
ganz schlau werde ich aus dem Log nicht.
Ist das hier so gewollt ?
O4 - Startup: https-ports.txt
O4 - Startup: proxy.exe
O4 - Startup: proxy.log
Diese Datei läßt du bei Jotti scannen :
O4 - HKLM\..\Run: [navsys] C:\WINDOWS\System32\JS32.exe
Wenn du einer Fehlermeldung dort erhältst,gehe in den Taskmanager und beende den Prozess,dann erneut scannen.Ergebnisse posten und mit den eventuell gefundenen Sachen googeln.
Dort wo du die Anleitung für Hijack gefunden hast steht eine für "EScan".Mach so einen und poste das Ergebnis.Unter dem roten Punkt 5 in der Anleitung findest du blau unterlegt die "find.bat"(bevor du fragen mußt)
Halte dich an die Anleitung genau,unten ist ein PDF zum Downloaden,das kann man ausdrucken.
Link zu Jotti :
http://virusscan.jotti.org/de/
Irrlicht

Hallo Thorgal_agirson,

Dein System sieht übel aus, die Überprüfung der Dateien sowie die weiteren Schritte kannst Du Dir ersparen, da u.a. der in Deinem System aktiv ist:
http://www.sophos.de/virusinfo/analy...ojoptixpo.html

Bei einem Trojaner mit Backdoor-Funktionaltität rate ich Dir hier dringend zur Neuinstallation.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

Hallo; also den Scan habe ich gemacht:

Datei: JS32.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.UPX, UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Proxy.BDK gefunden
BitDefender GenPack:Trojan.Proxy.Ranky.Gen gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Proxy.574 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet PossibleThreat!01856 gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Ranky.de gefunden
NOD32 Win32/TrojanProxy.Ranky gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 15360 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\JS32.exe.

[ Changes to registry ]
* Creates value "navsys"="C:\WINDOWS\SYSTEM32\JS32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "joker.ilovefamilyguy.net" on port 53 (UDP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4951.

[ Process/window information ]
* Creates a mutex js32navsys.
* Attemps to open C:\WINDOWS\SYSTEM32\JS32.exe NULL.
* Will automatically restart after boot (I'll be back...). gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Proxy.Win32.Ranky.de gefunden


Scanner Name der Malware
AntiVir X
ArcaVir X
Avast Win32:Trojan-gen. {Other}
AVG Antivirus BackDoor.Generic.REU
BitDefender Backdoor.Ircbot.AZ
ClamAV X
Dr.Web X
F-Prot Antivirus W32/Sdbot.JZL
Fortinet W32/IRCBot.AZ-bdr
Kaspersky Anti-Virus Backdoor.Win32.IRCBot.az
NOD32 Win32/IRCBot
Norman Virus Control W32/Ircbot.EA
UNA Backdoor.IRCBot
VBA32 Backdoor.Win32.IRCBot.az


und jetzt beim ausgeschaltetem Programm:

Datei: JS32.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH.UPX, UPX

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Proxy.BDK gefunden
BitDefender GenPack:Trojan.Proxy.Ranky.Gen gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Proxy.574 gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet PossibleThreat!01856 gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Ranky.de gefunden
NOD32 Win32/TrojanProxy.Ranky gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 15360 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\JS32.exe.

[ Changes to registry ]
* Creates value "navsys"="C:\WINDOWS\SYSTEM32\JS32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Connects to "joker.ilovefamilyguy.net" on port 53 (UDP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4951.

[ Process/window information ]
* Creates a mutex js32navsys.
* Attemps to open C:\WINDOWS\SYSTEM32\JS32.exe NULL.
* Will automatically restart after boot (I'll be back...). gefunden
UNA Keine Viren gefunden
VBA32 Trojan-Proxy.Win32.Ranky.de gefunden


Scanner Name der Malware
AntiVir Exploit/MS06-001.WMF exploit
ArcaVir X
Avast MS06-001 WMF Exploit
AVG Antivirus X
BitDefender Exploit.Win32.WMF-PFV
ClamAV Exploit.WMF.A
Dr.Web X
F-Prot Antivirus X
Fortinet X
Kaspersky Anti-Virus Exploit.Win32.IMG-WMF
NOD32 a variant of Win32/Exploit.WMF
Norman Virus Control W32/Exploit.Gen
UNA X
VBA32 Exploit.WMF


Jedoch ein Problem habe ich, beim Escan habe ich mir die Lizens auf deutsch durchgelesen, und dann auf akzeptieren gedruck und jetzt ist es auf deutsch und nicht auf englisch, ich hab es schon deinstaliert aber es bringt nichts, kannst du mir da auch noch bitte helfen ??

Hallo Dartrus, danke für die Nachricht, obwohl sie schlecht ist, ich werde es fürs erste mit Irrlicht versuchen, aber wenn du noch Tipps hast wäre ich sehr dankbar.

Grüße Paul

Hallo Thorgal_agirson,

Zitat:

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM32\JS32.exe.

[ Changes to registry ]
* Creates value "navsys"="C:\WINDOWS\SYSTEM32\JS32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Ru n".

[ Network services ]
* Connects to "joker.ilovefamilyguy.net" on port 53 (UDP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4951.

.. und noch einer!
Hier wird Dir niemand etwas anderes raten, als Dein System wie bereits gepostet neu zu installieren.

dartus

Ok Dartus,
und da ich es noch nie gemacht habe, kannst du mir da vielleicht einen Link schicken wie ich es am besten geht damit der Virus dann weg ist und kann ich die zweite Partipation so lasen wie sie zur Zeit ist ???
Und wieso funktioniert das mit dem eScan nicht ??

grüße Paul

Hallo Thorgal,
hier ein Link der dir helfen wird.
http://www.trojaner-board.de/showthread.php?t=12154
Der EScan finktioniert nur in englischer Sprache korrekt,ebenso die Find bat.
Das stand aber groß in der Anleitung.....
Wenn du ein Recovery-System hast gehts sehr einfach.Solltest du CD`s haben,lies dich durch dein Handbuch.
Um das Neuaufsetzen kommst du keinesfalls rum !!
Im schlimmsten Fall stehen mal morgens ein paar Polizisten unangemeldet in deiner Tür.
Irrlicht

Abend Irrlicht,
also das mit den paar Polizisten habe ich nicht verstanden ;(
Zur Zeit bin ich mal am Brennen der ganzen Dateien, aber bei Über 20GB alleine an verschiedenen Unterlagen kann es noch etwas dauern, insbesondere da ich keine wirkliche Ordnung bei mir habe
Grüße Paul

Hallo Thorgal agirson,
pass aber auf was du da retten willst ! Bilder Word-Dokumente und Musikfiles sind ok.Alles was mit exe/bat endet bzw.ausführbare Dateien solltest du bleiben lassen.Die Anderen auf jeden Fall ERST scannen lassen BEVOR sie auf ein frisches Sytem kommen.
Irrlicht

Hallo Irrlicht,
also ich hab ziemlich viele Exe Dateien die ich nach einer Neuinstallation wieder brauchen werde, also z.b. die verschiedenen Treibe und Programme mit denen ich arbeite, also ADAP, ZIX, Ameta, und ca. 20 weitere, kann ich die nicht scanen ???
den in den meisten Fällen arbeite ich schon seit 2001 mit diesen Programmen und habe keine Original CDs mehr.
Was würdest du mir empfehlen ?

Grüße Paul

Hallo, und noch ne Frage ich hab eine ganze Sammlung von AVIs noch aus meiner Zeit als Sportler, die haben zwar keinen finanziellen Wert, aber einen persönlichen (sind halt schöne Erinnerungen), kann ich die vielleicht irgendwie behalten (brennen)

Grüße Paul

Hallo,
also avi Dateien kannst du ohne Probleme sichern. Wie schon von irrlicht gesagt, du solltest nur keine ausführbaren Dateien (exe, pif, bat, scr, com) auf das neue System übernehmen, andere kannst du gefahrlos sichern.


Grüße Wildone