Falscher Google-Link

alex otto · 14.04.2006, 12:31

Hallo Leute,

ich erbitte eure Hilfe habe schon mehrere Seiten durchforscht, bin aber zu keiner Lösung meines Problemes gekommen. Wenn ich google, dann komme ich auf andere Seiten. Ebay, irgendwelche Lexika, Adultfinder...

Was ich bisher getan habe. Hijack this durchgeführt, verdächtige Ergebnisse recherchiert und eingefroren. Dann habe ich auch mal mit ewido gescannt und ich konnte viele Trojaner löschen. Allerdings bleiben immer einige Einträge erhalten.
Außerdem habe ich eine Systemwiederherstellung ausprobiert, die auch nichts gebracht hat.

Ich poste jetzt mal mein hijackthis-report und mein ewido-report. Vielleicht kann mir jemand helfen!

HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 13:28:44, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\asuskbservice.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\nvraidservice.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\anvshell.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ewido anti-malware\SecuritySuite.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Alex\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{91CB0460-6225-4A97-AA71-938212FF6191}: NameServer = 85.255.113.125,85.255.112.214
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

EWIDO:

+ Scanergebnis:

[676] VM_00DE0000 -> Downloader.Agent.uj : Fehler beim Säubern
[700] VM_00C90000 -> Downloader.Agent.uj : Fehler beim Säubern
[1520] VM_009D0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2228] VM_007B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2252] VM_00910000 -> Downloader.Agent.uj : Fehler beim Säubern
[2456] VM_00900000 -> Downloader.Agent.uj : Fehler beim Säubern
[2520] VM_003F0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2540] VM_009B0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2604] VM_008A0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2636] VM_003C0000 -> Downloader.Agent.uj : Fehler beim Säubern
[2664] VM_003E0000 -> Downloader.Agent.uj : Fehler beim Säubern
C:\Dokumente und Einstellungen\Alex\Cookies\alex@statse.webtrendslive[1].txt -> TrackingCookie.Webtrendslive : Gesäubert mit Backup
C:\Dokumente und Einstellungen\Alex\Cookies\alex@doubleclick[1].txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup
C:\System Volume Information\_restore{E26DCA82-ABBB-40BB-88B6-7479A6F25816}\RP73\A0010743.exe -> Trojan.Pakes : Gesäubert mit Backup

::Report Ende

rotaran · 14.04.2006, 12:42

O17 - HKLM\System\CCS\Services\Tcpip\..\{91CB0460-6225-4A97-AA71-938212FF6191}: NameServer = 85.255.113.125,85.255.112.214

--------------------

Das sieht nach was aus. Bin aber kein Profi. Wenn es das ist was ich vermute dann besteht eine direkte Verbindung von diesem Server zu deinem PC. Und die Leute die diesen Server betreiben können uneingeschränkt auf deinen PC zugreifen.(->Hacker !<-)

Hören wir mal die Profi's hier.

irrlicht · 14.04.2006, 12:48

Hallo alex otto,
das hier kommt bei einer Abfrage raus :
inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine
Wenn du deinen Internetzugang nicht aus der Ukraine beziehst,solltest du zügig eine Neuinstallation deines Compi`s betreiben.
Eine Hilfe dazu findest du hier auf der Startseite unter "Anleitungen,FAQ,Links"
Irrlicht

alex otto · 14.04.2006, 13:45

Hallo ihr beiden,

erst mal Dankeschön für die schnellen Antworten. Ich habe gemütlich zu mittag gegessen und schon weis ich was los ist!

Oh mann, und ich muss wirklich alles neu intallieren? Ich werd erst mal so probieren, das Ding runter zu bekommen!

Markus1234 · 14.04.2006, 13:49

Der Interesse halber, könntest du noch einen Blacklight-Scan durchführen?
Etwas ähnliches wurde gerade im Nebenforum behandelt .. würde mich interssieren

mfg,
Markus

alex otto · 14.04.2006, 14:11

Okay, kann ich machen!

alex otto · 14.04.2006, 14:26

Blacklite-Scan:

CSLUL.EXE
DMGGE.EXE
FILESA~1.EXE
PPGCGM.EXE
WBEMTEST.EXE

Markus1234 · 14.04.2006, 14:35

Tatasche .. Rootkitbefall

Ich kann nur den Link zum Neuaufsetzen weitergeben ..
Danke für die Kooperation.

Evtl. ist der Downloader.Agent.uj dafür verantwortlich.
Finde aber grad keine Alais oder Beschreibung ...

alex otto · 14.04.2006, 21:21

Tja, da werde ich morgen alles formatieren und neu installieren!

Ich sage auch danke für die Kooperation!

Falscher Google-Link

Log-Analyse und Auswertung: Falscher Google-Link