Hallo Forumteilnehmer!

Habe gerade einen Computer eines Freundes in den Händen ...

Dieser war "ziemlich verseucht" und wurde vor 2 Wochen von einem anderen Bekannten neu aufgesetzt. Doch nun läuft er schon wieder "verdächtig langsam".

Bevor ich nun als Amateur herumdoktere möchte ich einen Profi bitten, mir vorab das HijackThis Log-File des Comps auf eventuell Verdächtiges durchzusehen. Ist nicht wirklich groß, aber ich möchte Sicherheit haben.

Danke vorab!

Thomas

Logfile of HijackThis v1.99.1
Scan saved at 18:10:18, on 10.05.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\winsock\services.exe
C:\WINDOWS\Explorer.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\tempes.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Dokumente und Einstellungen\Elke\Desktop\Elke\downloads\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.jet2web.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.krieau.at/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\winsock\services.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\winsock\services.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Configuration Backup Service] C:\WINDOWS\config\svchost.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager] C:\WINDOWS\update\updmgr.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows Connection Mapping Service] C:\WINDOWS\mapping\svchost.exe
O4 - HKLM\..\Run: [Microsoft (R) Windows TCP/IP Socket Layer] C:\WINDOWS\winsock\services.exe
O4 - HKLM\..\Run: [Microsoft MachineUpdatese] tempes.exe
O4 - HKLM\..\RunServices: [Microsoft MachineUpdatese] tempes.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145973701755
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Windows Update Manager (UpdateManager) - Unknown owner - C:\WINDOWS\update\updmgr.exe
O23 - Service: Windows TCP/IP Socket Layer (Winsock) - Unknown owner - C:\WINDOWS\winsock\services.exe

Hallo,
ist wieder unrettbar verseucht, da laufen mehr Prozesse von Viren, als Systemprozesse.
Also macht es dieses mal richtig, will heißen, das SP2 muss installiert sein bevor das System zum ersten mal online geht. Dann sollten alle weiteren Updates eingespielt werden, genaue Anleitung gibt es hier.


Grüße Wildone

Windows muss nochmal neu aufgesetzt werden. Details siehe Anleitung von Cidre.

Zitat:

C:\WINDOWS\winsock\services.exe
C:\WINDOWS\System32\csrs.exe
C:\WINDOWS\System32\tempes.exe
C:\WINDOWS\config\svchost.exe
C:\WINDOWS\update\updmgr.exe
C:\WINDOWS\mapping\svchost.exe

Sind alles Schädlinge, die meisten davon (wenn nicht sogar alle) sind Netzwerkwürmer.
Die Kiste ist hoffnungslos verseucht. Sieh zu, dass Du die schnell vom Netz nimmst und zumindest die Systempartition formatierst.
Geh erst mit dem SP2 ins Internet, das muss vorher offline eingespielt werden. Alle Details findest Du in der Anleitung von Cidre.

Edit: Hallo Wildone! Warst mal wieder schneller

Zitat:

Zitat von BusterKe

Ist nicht wirklich groß, aber ich möchte Sicherheit haben.

Sicherheit? Service Pack 2 wäre schonmal ein guter Anfang...

Ansonsten kannst du das System gleich nochmal neu aufsetzen! unter anderem der HIER ist in deinem System AKTIV!

Also nimm das Ding so schnell wie Möglich vom Netz...

Gruß
Daniel

[EDIT] Cosinus war doch noch schneller

[EDIT2] Und Wildone auch noch ;(

Danke für die raschen Antworten!

Ich habe sowas in der Art schon vermutet ...

Unter Sicherheit hab ich gemeint, ich will die Sicherheit ob noch was zu retten ist oder ob ein Neuaufsetzen sie schnellste Möglichkeit ist. :-) Habe den Comp selbst erst gerade das erste Mal gesehen.

Danke, eure Infos helfen mir schon weiter ... Also Neuaufsetzung ... werde ich zusammenbringen :-)

LG
Thomas

Hallo!

Wollte mich nochmal für Eure Einschätzung bedanken, habe das System meines Freundes nun neu aufgesetzt und mit SP 2 geupdated und mit Norton Anti Virus ausgestattet. Gerade eben kommen noch die restlichen Windows Updates drauf, dann sollte fürs Erste mal Schluß sein mit seinen Problemchen :-) War ganz klar die beste und schnellste Lösung! Danke

Habe nun noch ein anderes Gerät wo ich euch nochmals um Eure Einschätzung bitte möchte. Hier sind alle Windows Updates gemacht worden, auch SP 2 war immer drauf, ebenso Norton Anti Virus - das neue Update vom Norton wurde jedoch erst Anfang Mai raufgespielt, daher die ersten vier Monate keine Updates diesbezüglich. Problem: Der Comp startet nach dem ersten Hochfahren nach etwa 20 Minuten plötzlich nochmals neu, so wie wenn man den Reset-Knopf betätigt. Dann funktionert jedoch alles normal.

Da bei diesem Comp ein Neuaufsetzen aufgrund der Menge der installierten Programme etwas mühsamer wäre, möchte ich Euch zuerst um Eure Einschätzung bitten. Anbei das Log.

Danke im Vorraus,
Thomas

Logfile of HijackThis v1.99.0
Scan saved at 16:10:01, on 11.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\RECYCLER\S-1-5-21-776561741-2111687655-1060284298-1004\Dc124\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
G:\Programme\Skype\Phone\Skype.exe
C:\Programme\NETGEAR\WG311v3\wlancfg5.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
G:\Anti-Virus\Hijackthis\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AdaptecDirectCD] C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\RECYCLER\S-1-5-21-776561741-2111687655-1060284298-1004\Dc124\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Skype] "G:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [RealPlayer] "C:\Programme\Real\RealPlayer\realplay.exe" /RunUPGToolCommandReBoot
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NETGEAR WG311v3 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - G:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {670821E0-76D1-11D4-9F60-009027A966BF} (YouBet Secure Data Transfer Control) - h**p://racing.youbet.com/wr_5_8/controls/ybrequest.cab
O16 - DPF: {C9DB5AF8-4C14-4A3E-90F8-DB49D6B4866D} (YBUICtrl.FloatWnd.1) - h**p://racing.youbet.com/wr_5_8/controls/YBUICtrl.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{1EED437A-3248-4E62-8C81-2AC17EC456CF}: NameServer = 195.34.133.10,195.34.133.11
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: Norton Protection Center Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Evtl. ist dieser Schädling im System aktiv:
Diesen Kandidaten (beim "überfliegen" des Logfiles aufgefallen).
Das Ganze würde ich allerdings gerne noch bestätigen lassen - obwohl ich den Realplayer nicht richtig kenne, denke ich es fehlen noch einige Prozesse z.B. die für den Tray usw.

++ Machst du bei Pferdewetten mit?

Zitat:

O16 - DPF: {670821E0-76D1-11D4-9F60-009027A966BF} (YouBet Secure Data Transfer Control) - h**p://racing.youbet.com/wr_5_8/controls/ybrequest.cab
O16 - DPF: {C9DB5AF8-4C14-4A3E-90F8-DB49D6B4866D} (YBUICtrl.FloatWnd.1) - h**p://racing.youbet.com/wr_5_8/controls/YBUICtrl.cab

Und

Zitat:

O4 - HKLM\..\Run: [QuickTime Task] "C:\RECYCLER\S-1-5-21-776561741-2111687655-1060284298-1004\Dc124\qttask.exe" -atboottime

wird aus dem Papierkorb gestartet?!

Nene .. hier solltest du wirklich eine zweite Meinung einholen lassen, ich glaub ich seh nimmer richtig

mfg,
Markus

Hallo Markus!

Also das mit Pferdewetten stimmt, ist also gewollt und sollte wohl nichts Schädliches sein. Das mit mit dem QuickTime ist scheinbar ein "Überbleibsel" _ komisch dass das da ist, muss wohl in der Regestry raus?!

Danke für den Link, ich werde mich da mal reinlesen!

Danke für die Ansätze,
Thomas