Hi Leute,

sorry, wenn die Überschrift schon man komisch klingt, aber ich habe Probleme, den Sachverhalt konkret zu schildern. Ich habe gestern mit meinem Kumpel über msn geredet und dieser erzählte ganz aufgelöst davon, dass seine CPU-Auslastung ständig von Antivir zu 100% gezwungen wird und die DLL-Dateien-Anzahl zunimmt.
Bevor er zwangsweise offline ging, bekahm ich noch das folgende hijacklog von ihm geschickt. Ich habe selber nichts bösartiges mit meinem Halbwissen gefunden. Deshalb würde ich mich freuen, wenn ihr mal einen Blick ins Logfile werft.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 00:57:42, on 12.09.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Gene6 FTP Server\G6FTPSERVER.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Gene6 FTP Server\G6FTPTray.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\WinBar\WinBar.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\lernen\LOKALE~1\Temp\~AceTemp\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\Gene6 FTP Server\G6FTPTray.exe"
O4 - Startup: WinBar.lnk = C:\Programme\WinBar\WinBar.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe (file missing)
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Unknown owner - C:\Programme\DynDNS Updater\DynDNS.exe (file missing)
O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\Gene6 FTP Server\G6FTPSERVER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

danke schon mal
mfg Cleriker

hoi cleriker


ich würde deinem freund ma raten folgende programme zu deinstallieren

C:\Gene6 FTP Server\G6FTPTray.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\TightVNC\WinVNC.exe"
(letzteres ist ein server für remote verbindungen....? What for ??)

Ausserdem AntiVir einmal runterwerfen und dann wieder neu drauf..

Macht dein Freund Grafikbearbeitung mit Arcobat, oder für was braucht er
den Adobe Distiller
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"


mit dem Acrobat Reader stimmt auch was nicht , würd ich auch ma deinstallieren

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

sind n bissle viele einträge für ein programm

hmmm.... stell dir ma vor du gehst in ne kneipe und ziehst ein bier nach dem
anderen rein - irgendwann biste so voll..... aber am nächsten tag is alles wieder gut, weil du dich regenerierst

und jetz im gegensatz dazu dein computer der sich nicht von selbst regeneriert... ( oder eher der von deinem Kumpel) kriegt immer ein programm nach dem anderen eingeschenkt : )

lange rede kurzer sinn - zur systempflege gehört auch, dass nicht wirklich
benötigte programme wieder deinstalliert werden

und btw soll er sich gleich noch nen registry cleaner in google suchen.....

so far - peace

Hi und danke erst mal,

von der Seite hab'ich's noch nicht betrachtet, aber stimmt.
Was hälst du eigentlich von

"C:\WINDOWS\Mixer.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

Habe ich erst jetzt gesehen, aber kommt mir schon mal wie das
nette Würmchen von neben-an vor.

W32/Rbot-AIV
Typ

* Spyware-Wurm

Verbreitungsweise

* Netzwerkfreigaben

Anfällige Betriebssysteme

* Windows

Nebeneffekte

* Ermöglicht Dritten den Zugriff auf den Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
* Installiert sich in der Registrierung
* Nutzt bekannte Schwachstellen aus

Alias

* Backdoor.Win32.Rbot.vb

Schutz verfügbar seit 25 Juli 2005 13:03:13 (GMT)
Bisheriger Schutz

* Aktualisiert - 11 Oktober 2005 20:20:18 (GMT)
* Veröffentlicht - 25 Juli 2005 13:03:13 (GMT)

Erkannt von Alle Versionen von Sophos Anti-Virus
Aktueller Schutz in unseren Produkten enthalten ab November 2005 (3.99)


stimmt ein wurm .... : )

Dann ma schnell den Remover dafür gesucht und runter damit...

look here http://www.trojaner-board.de/showthread.php?t=13271

gruss das licht

genauuuuu,

das meine ich.
Kein Wunder, dass der gestern, wie ein Hirsch rumgesprungen ist.
Also danke schön "Licht der Welt"

Zitat:

Zitat von Licht der Welt

...

Solltest Du nicht bei der Arbeit sein oder verwechsle ich Dich jetzt mit jemandem?


BTW:

Die fragliche Datei erstmal online (siehe Signatur) prüfen lassen. Namen und Pfade sind Schall und Rauch.

Gruß

Marc

gern geschehen : )


/http://lichtderwelt.blogspot.com/


gruss von freiburg nach berlin

hi marc

schau mal da...


http://www.trojaner-board.de/showthread.php?t=13271

wat machstn ?

greetings

Zitat:

Zitat von Licht der Welt

hi marc

schau mal da...


http://www.trojaner-board.de/showthread.php?t=13271

Moin. Ich steh grad aufm Schlauch. Was soll mir der Link sagen?

Zitat:

wat machstn ?

Einen Anschlag auf die Telekom vorbereiten

naja also der LINK zeit genau das auf was du mir gesagt hast:

Online scan ........

^^


War die Telekom mal wieder böse... ?

Ich kann auch nicht raustelefoniern mit meiner scheiss VOIP-Telefonie......

so ein Dreck..

Zitat:

Zitat von Licht der Welt

naja also der LINK zeit genau das auf was du mir gesagt hast:

Online scan ........

^^

Nun gut

Kurz zwei Dinge:

1. Dateien immer prüfen lassen ausser der Befund ist so sicher wie ein Totalausfall der Telekom

2. Wenn ein Backdoortrojaner gefunden reicht ein Universalremover: format C:

Zitat:

War die Telekom mal wieder böse... ?

Ich kann auch nicht raustelefoniern mit meiner scheiss VOIP-Telefonie......

Mehr dazu hier (unten und nächste Seite):
http://www.trojaner-board.de/showthr...=28219&page=37