Hi, ich sitze hinter einem Router, der in der Regel die Einwahl ins Netz übernimmt.
Ab und an, wenn ich allein daheim bin, umgehe ich diesen aber und gehe über eine pppoe verbindung direkt in das dsl modem....

seit einigen tagen versucht mein rechner nun, diese alternative netzwerkverbindung zu öffnen während ich über den router surfe... da stell sich mir die frage: hab ich mir wohl was eingefangen

leider ergaben sämtliche viren und spyware suchen nichts und die automatische hijack logfile auswertung brachte auch keine neuen erkenntnisse...

hoffe ihr könnt mir helfen..

gruß der
eddie


Logfile of HijackThis v1.99.1
Scan saved at 10:32:13, on 06.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\Dsp24Set.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\User\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DSP24] Dsp24Set.exe /n
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {558714D6-8AC5-11D2-BCB7-00A024A866A5} (ScreenShot Control) - h**p://katalog.stbib-koeln.de/Components/screenshot.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101821136920
O16 - DPF: {DA606A1F-A615-4734-96DD-8C84312D50D5} (SilentPrinter Class) - h**p://katalog.stbib-koeln.de/Components/PrintHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D633DA7E-DCBA-4694-B477-0DBEB1AE69C1}: NameServer = 192.168.0.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Servus!

Kennst Du diese Datei

Zitat:

C:\WINDOWS\system32\Dsp24Set.exe

Wenn nein, lass diese Datei bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Datei in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!

Ansonsten lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!

stupormundi

hi, danke für die antwort,

den prozess den du meintest rührt von meiner soundkarte her, der ist in ordnung.

hab mal nen escan laufen lassen wo auch schon was gefunden wurde. musste aber dann weg. morgen früh wissen wir mehr

gruß
der eddie

so, der test is dann wohl abgeschlossen und hat zwei ergebnisse hervorgebracht... die find bat txt datei füge ich unten ein

-wobei ich das eine schon behoben hab. es handelte sich um einen eimail wurm, der noch im trash file des thunderbird lag... nunja papierkorb entleert und fort ist er...

-der zweite liegt in den temporary internet files und ist schon über nen jahr alt... hab auch mal überprüft ob sich da was in die registry eingetragen hat, wie es auf der kaspersky seite beschrieben ist aber da war nix. zudem wäre noch zu sagen, dass ich dieses blindwrite programm nie besessen habe, und daher auch nicht ganz nachvollziehen kann wieso sich ein eventueller crack dafür auf meinem rechner befinden sollte...

-dazu dann noch eine frage... da er ja anscheinend noch nicht ausgeführt wurde, reicht es diese temporary internet files zu löschen? oder muss ich da im abgesicherten modus ran?

- und noch ne frage... wenn ich im explorer zu den besagten temporary internet files gehen möchte, kann ich die ordner aus dem pfad nicht sehen...obwohl ich in den ordneroptionen sowohl alle versteckten dateien und auch systemdateien anzeigen lasse...und komme nur zum ziel, wenn ich den kompletten pfad in die adresszeile eingebe... wie genau ist das möglich?

-und eine letzte Frage, das in meinem ersten post beschriebene Problem ist nun heute nach einer stunde surfen noch nicht wieder aufgetaucht... kann aber ja auch eigentlich nicht von den gefundenen dateien herrühren... falls es dennoch wieder auftaucht, wie geh ich am besten weiter vor?

danke für eure hilfe

so, hier aber nun der log file text:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Thu Apr 06 17:49:34 2006 => File C:\Dokumente und Einstellungen\User\Anwendungsdaten\Thunderbird\Profiles\xtr75kfm.default\Mail\Local Folders\Trash infected by "Email-Worm.Win32.Nyxem.e" Virus! Action Taken: No Action Taken.
Thu Apr 06 17:54:46 2006 => File C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PVRJLH4E\blindwrite.5.1.6.132.crack-rev[1].zip infected by "Trojan-Spy.Win32.Briss.j" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 06 21:16:18 2006 => Total Errors: 20
Thu Apr 06 21:16:18 2006 => Time Elapsed: 05:12:00
Thu Apr 06 21:16:18 2006 => Total Objects Scanned: 74843
Thu Apr 06 15:58:34 2006 => Virus Database Date: 4/3/2006
Thu Apr 06 16:03:35 2006 => Virus Database Date: 4/3/2006
Thu Apr 06 21:16:18 2006 => Virus Database Date: 4/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

ich muss mich nochmal schnell melden...

mir ist aufgefallen, dass die alternative netzwerkverbindung dann versucht wird zu starten, wenn ich eine nicht existierende adresse in die adresszeile von mozilla eingebe.. durch vertippen...

hab leider keine einstellung gefunden, die das veranlassen könnte... wisst ihr mehr?


gruß
eddie

wollte das thema nur nochmal eben nach oben bewegen...

wäre cool, wenn ihr noch was wisst.. ansonsten bis denn mal
gruß
eddie

Servus wieder!

Wenn Du die *.zip Datei (Trojan-Spy.Win32.Briss.j") nicht entpackt hast, sollte alles im grünen Bereich sein!

Lösche die temporären Internetfiles!

Und poste mal das Ergebnis des rootkitrevealer!

stupormundi