Hallo an alle,
unser "Familien-computer" macht uns seit einiger zeit etwas Sorgen. Wir hatten ihn zwar schon einmal zur Reparatur gebracht (wegen Blitzschlagschäden) doch als wir ihn wieder in Betrieb nahmen mussten wir feststellen, dass keine Anti-Viren-Software mehr aktiv war. Anschließend hatten wir so viele Viren drauf, dass wir den PC nochmals komplett neuafsetzen mussten. Eine zeitlang war dann Ruhe aber jetzt haben wir folgende Probleme:
-erstmal startet der PC extrem langsam und auch Anwendungen (egal ob das Öffnen eines Ordners oder das Ausführe eines Programmes) verlaufen verzögert.
-im Taskmanager werden Prozesse angezeigt wie : TheMatrixHasYou und Omcamcap, die uns völlig unbekannt sind ( nach der Boardsuche fanden wir keine Ergebnisse dazu)

Da wir mit der Hilfe des Trojaner-Boardes schon Spy-Sheriff erfolgreich löschen konnten hoffen wir jetzt, dass ihr uns auch bei diesem Problem helfen könnt. Ich habe hier gleichmal ein Hijackthis-Logfile gepostet und hoffe, (weil ich das zum ersten Mal mache) dass ich alle Links und persönliche Daten geändert habe.
Ich würde mich sehr über eure Hilfe freuen.


Logfile of HijackThis v1.99.1
Scan saved at 11:29:15, on 18.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\asn.exe
C:\windows\system32\spool\printers\FireDaemon.exe
C:\WINDOWS\system32\spool\PRINTERS\dll32.exe
C:\windows\system32\spool\printers\FireDaemon.exe
C:\WINDOWS\system32\nvsec.exe
c:\windows\system32\spool\printers\events.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\vdmsec.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\dxvwmkoa.exe
C:\Program Files\mdhff.exe
C:\WINDOWS\System32\rpcc.exe
C:\WINDOWS\System32\HIMENSYST.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Anti-SpySheriff\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Panda Software\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\xyur.exe
C:\Programme\Mozilla Firefox\firefox.exe
c:\xyur.exe
c:\ufjwwltk.exe
c:\Program Files\vaws.exe
c:\nicqxakl.exe
c:\nicqxakl.exe
C:\WINDOWS\System32\0mcamcap.exe
C:\WINDOWS\System32\TheMatrixHasYou.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {7D1031FC-AB4F-D1B2-48A0-85CA9424E2C1} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTI-S~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {78364D99-A240-4dff-B11A-67E448373045} - C:\WINDOWS\System32\ipv4mons.dll
O2 - BHO: MFCOptimizeClass Object - {C25FA7CE-23EA-4271-A66D-06C4D5C22F78} - C:\WINDOWS\System32\gebcc.dll
O2 - BHO: (no name) - {EA32FB3B-21C9-42cc-B8EF-01A9B28EDB0D} - C:\WINDOWS\system32\pmkjj.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DCOM Server] C:\WINDOWS\System32\dxvwmkoa.exe
O4 - HKLM\..\Run: [SysTray] C:\Program Files\mdhff.exe
O4 - HKLM\..\Run: [rpcc] rpcc.exe
O4 - HKLM\..\Run: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKLM\..\RunServices: [Windows File Migration Wizard] HIMENSYST.EXE
O4 - HKLM\..\RunServices: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Anti-SpySheriff\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [0mcamcap] C:\WINDOWS\System32\0mcamcap.exe
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\RunServices: [Microsoft System Saver] kwanah.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\schild\Dokumente und Einstellungen\***\ICQ Lite\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - h**p://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136326658609
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - h**p://as.photoprintit.de/ips-opdata/activex/IPSUploader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EDDE154-C261-4093-9D6B-F40D18FF2DD8}: NameServer = 217.237.151.33 217.237.149.225
O20 - Winlogon Notify: directpt - C:\WINDOWS\SYSTEM32\directpt.dll
O20 - Winlogon Notify: gebcc - C:\WINDOWS\System32\gebcc.dll
O20 - Winlogon Notify: ideusr50 - C:\WINDOWS\SYSTEM32\ideusr50.dll
O20 - Winlogon Notify: mmxeroxk - mmxeroxk.dll (file missing)
O20 - Winlogon Notify: pmkjj - C:\WINDOWS\SYSTEM32\pmkjj.dll
O20 - Winlogon Notify: se500mdm - se500mdm.dll (file missing)
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\j6j60g1se6.dll (file missing)
O20 - Winlogon Notify: xdudtt - C:\WINDOWS\SYSTEM32\xdudtt.dll
O21 - SSODL: SysTray.Exbr - {6368D1FC-6F5C-4f1b-B164-E67214F678E9} - C:\WINDOWS\System32\aabcdocn.dll (file missing)
O21 - SSODL: SysTray.Exinv - {2363ECFC-4E5D-2f3b-B384-D67432FC72F6} - (no file)
O21 - SSODL: DCOM Server - {2C1CD3D7-86AC-4068-93BC-A02304BB8C34} - C:\WINDOWS\System32\dxvwmkoa.exe
O23 - Service: ASN Service (asn.exe) - Unknown owner - C:\WINDOWS\asn.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Service Manager (csrss) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
O23 - Service: FireDaemon Service: dll32 (dll32) - Sublime Solutions Pty Ltd - C:\windows\system32\spool\printers\FireDaemon.exe
O23 - Service: FireDaemon Service: events (events) - Sublime Solutions Pty Ltd - C:\windows\system32\spool\printers\FireDaemon.exe
O23 - Service: Enables Java Support (Java) - Unknown owner - C:\WINDOWS\System32\winjava.exe (file missing)
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe (file missing)
O23 - Service: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINDOWS\System32\netddesrv.exe (file missing)
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: wnkrn(wnkrn) (wnkrn) - Unknown owner - C:\WINDOWS\system32\kernlx86.exe (file missing)
O23 - Service: WsSec(wssec) (WsSec) - Unknown owner - C:\WINDOWS\system32\wssec.exe (file missing)

Eine hübsche Sammlung an Würmern und Trojanern hast du da. Setze dein System neu auf, sonst wirst du nicht glücklich. Eine gute Anleitung findest du bei den FAQ. Patche insb. dein OS!

Ich würde euren Rechner gerne als EXTREMST-VERSEUCHTESTER PC des Jahres 2006 nominieren

Es sind leider Duzzende Einträge zu erkennen, die auf Netzwerkwürmer/Backdoors hinweisen.

Backdoors an sich kann man nicht entfernen, da sie sich tief in das System eingraben und praktisch immer wieder kommen. Ganz zu schweigen vom angerichteten Schaden und den offenen Hintertürchen (PC ist nimmer unter eurer Kontrolle - etwa 20 Leute teilen sich diese nun )

Grund dafür - wohl die übermütigen Kids die auf alles klicken was sich bewegt. Eine gute Lern-Vorkehrung wäre es, wenn du Ihnen die in meiner Signatur verlinkte Anleitung zum Neuaufsetzen zu lernen gibst und jedesmal, wenn sich wieder ein Backdoor einnistet, die Kids den Computer neu installieren lässt. Also Formatieren, Windows installieren, Windows einrichten ... Updates ect aufspielen, Software installieren uvm.

Das wirkt bestimmt

Achja, da es gerade ein bisschen undeutlich war, das System nach der in meiner Signatur verlinkten Anleitung zum Neuaufsetzen, Neuaufsetzen!

mfg,
Markus

Hallo schildi,
mein Respekt !!
Das ist die verseuchteste Kiste,die seit langem hier war...
Schnellstens vom Netz trennen und Neuaufsetzen nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=12154
Jeden Tag den du länger damit wartest bringt dich der Bekanntschaft mit Polizei und Staatsanwaltschaft unablässig näher
Irrlicht

PS: Überdenkt euer Surf- und Downloadverhalten. Viren kommt nicht durch den Ausfall eines Antivirenprogramms auf den PC. Gruß

Danke schon mal an euch alle.^^
Wenn der PC das überlebt meld ich mich nochmal, dann hoffentlich ohne Viren, Würmer etc.
Gruß, schildi