HILFE!!!

Logfile of HijackThis v1.99.1
Scan saved at 13:50:46, on 14.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\windowsmedia.exe
C:\WINDOWS\windowsmedia.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\windowsmedia.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
C:\WINDOWS\windowsmedia.exe
C:\WINDOWS\windowsmedia.exe
C:\Programme\Siemens\Gigaset USB Adapter 108\OdHost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) =
F2 - REG:system.ini: Shell=Explorer.exe windowsmedia.exe
F3 - REG:win.ini: run=C:\WINDOWS\windowsmedia.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Windows Media] C:\WINDOWS\windowsmedia.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [Windows Media] C:\WINDOWS\windowsmedia.exe
O4 - HKLM\..\RunOnce: [Windows Media] C:\WINDOWS\windowsmedia.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 108\Gcc.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe


was is da los???

Zitat:

HILFE!!!

Ja die brauchst du und kriegst du, aber erst nachdem du das hier "nochmal" gelesen hast -> Nutzungsbedingungen

Vor allem Regel Nr.5 solltest du genaues lesen.

Gruß
Sunny

oh sorry.
also windows xp sp2
antivir

hab ne datei installiert. vorher gescannt: nix. dann hat sich antivir guard ausgestellt. kann jetzt taskmanager nicht mehr richtig sehen, nur das fenster von prozesse.
braucht ihr noch welche angaben???

Lass als erstes folgende Datei bei Virustotal auswerten:

Zitat:

C:\WINDOWS\windowsmedia.exe

Einfach die Datei suchen, in das weiße Feld auf der Seite kopieren und "SEND" klicken.
Danach, kann etwas dauern mit der Auswertung, das Ergebnis markieren, kopieren und hier einfügen in einen Beitrag.
Achte darauf das auch die Größenangabe mitgepostet wird.

Gruß

also während ich auf virustotal warte:

antivir sagt:
Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 16 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
C:\WINDOWS\windows-mediaplayer.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\windows-mediaplayer.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B



habs auch gefunden, als geschützte systemdatei.
hab dann die prozesse beendet, und bei msconfig die starteinträge entfernt. beim neustart hat das nix genützt und es war wie vorher.
tja...

hier das ergebnis von virustotal:

Complete scanning result of "windowsmedia.exe", received in VirusTotal at 10.14.2006, 14:22:59 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.30 10.14.2006 no virus found
Authentium 4.93.8 10.13.2006 no virus found
Avast 4.7.892.0 10.13.2006 no virus found
AVG 386 10.13.2006 no virus found
BitDefender 7.2 10.14.2006 no virus found
CAT-QuickHeal 8.00 10.14.2006 no virus found
ClamAV devel-20060426 10.13.2006 no virus found
DrWeb 4.33 10.14.2006 no virus found
eTrust-InoculateIT 23.73.22 10.13.2006 no virus found
eTrust-Vet 30.3.3131 10.13.2006 no virus found
Ewido 4.0 10.13.2006 no virus found
Fortinet 2.82.0.0 10.14.2006 suspicious
F-Prot 3.16f 10.13.2006 no virus found
F-Prot4 4.2.1.29 10.13.2006 no virus found
Ikarus 0.2.65.0 10.13.2006 no virus found
Kaspersky 4.0.2.24 10.14.2006 no virus found
McAfee 4873 10.13.2006 no virus found
Microsoft 1.1603 10.14.2006 no virus found
NOD32v2 1.1803 10.13.2006 no virus found
Norman 5.80.02 10.13.2006 no virus found
Panda 9.0.0.4 10.14.2006 no virus found
Sophos 4.10.0 10.13.2006 no virus found
TheHacker 6.0.1.098 10.14.2006 no virus found
UNA 1.83 10.13.2006 no virus found
VBA32 3.11.1 10.13.2006 no virus found
VirusBuster 4.3.7:9 10.13.2006 no virus found

Aditional Information
File size: 2534003 bytes
MD5: 71caab270a20d2524f6b7c44e2b807de
SHA1: 6669188e82ef9fb736e690bfd94f7187f848eda9
packers: Themida


also fortinet, respekt^^

Zitat:

Zitat von b6d

C:\WINDOWS\windows-mediaplayer.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\windows-mediaplayer.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B

Dein System wurde von einem Backdoortrojaner kompromittiert. Setze Dein System bitte gemäß dieser Anleitung neu auf.

Nun, wenn ich die Warnung richtig interpretiere hast Du es geschafft, Dir ein Rootkit einzutreten daß mit dem Nuclear-Bausatz gebastelt wurde. Das kann nun relativ kompliziert werden, da der Scanner genau die Datei nicht finden kann, die für den Schaden verantwortlich ist (dafür ist das Rootkit nämlich da, um das zu verstecken).

Hast Du die Chance mit einer nicht infizierten Boot-CD Dein System zu starten und so zu scannen? Weil vom infizierten System weg scannen wird eher unergibig bleiben.

Zitat:

Zitat von Alanis

Hast Du die Chance mit einer nicht infizierten Boot-CD Dein System zu starten und so zu scannen? Weil vom infizierten System weg scannen wird eher unergibig bleiben.

kannst du mir das nochmal erklären was das heisst?

hab rootkit revealer am laufen:
HKLM/software/classes/chrome/shell/open/ddeexec
/ftp/shell/open/ddeexec
/gopher/shell/open/ddeexec
/http/shell/open/ddeexec
/https/shell/open/ddeexec
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\fnzu46u8.default\parent.lock

die sind mit "hidden from windows api" gekennzeichnet

und
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fnzu46u8.default\Cache.Trash

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\fnzu46u8.default\Cache.Trash\Trash

sind mit "Visible in Windows API, but not in MFT or directory index." gekennzeichnet.

diese einträge sind von heute!!! HILFE!

Gehe dem Rat von "Mighty Marc" nach, und setz dein System neu auf. Alles andere ist sinnlos und verschenkte Zeit.

Zusätzlich sollte die Datei windowsmedia.exe mit diesem Schädling im Zusammenhang stehen: IRC-Worm.Fylex.

Zusammen mit dem rootkit ein weiterer Grund das System neu aufzusetzen!

Gruß
Sunny

Nun, das Problem ist folgendes: Ein Rootkit hat die Funktionalität genau jene Dateien vor dem System zu verstecken, die gefährlich sind. Sprich, das infizierte System kann sich nicht mehr selbst scannen, da es genau das was es finden sollte nicht finden kann.

Da nun mit einem Scanner drübergehen wird bestenfalls einen Teil des Problems finden, das allerdings, wie Du bereits festgestellt hast, schnell wieder da ist weil der "Kern" weiter fröhlich am Laufen ist.

Die einzige Möglichkeit dies zu beheben (abgesehen vom Neuaufsetzen des Systems, was wahrscheinlich im Endeffekt die schnellste Lösung darstellt) ist nun, das System von "außen" zu scannen, indem man ein nicht infiziertes Image bootet und mit diesem die Platten scannt. Das kann nun passieren, indem man z.B. eine Boot-CD verwendet und mit dieser die Platten durchsucht oder Images der Platten herstellt und diese auf einem anderen Computer durchsuchen läßt. Auf jeden Fall wirst Du nichts finden, wenn Du das infizierte System suchen läßt (zumindest wenn das Rootkit halbwegs gut programmiert ist).

ok,
schade nur.
kann ich denn dateien auf cd brennen und diese auf die neue windows überspielen oder geht dann wieder alles kaputt. privatfilme/bilder????

Zitat:

Zitat von b6d

ok,
schade nur.
kann ich denn dateien auf cd brennen und diese auf die neue windows überspielen oder geht dann wieder alles kaputt. privatfilme/bilder????

Du kannst alles brennen, MP3, Videos, Bilder oder Speicherstände von Spielen!
DU darfst nur keine ausführbaren Programmdateien mitnehmen, diese könnten infiziert sein oder aber der "Wirt" selbst!

Lies dir mal in meiner Signatur den Link "Neuaufsetzen des Systems" durch, da gibt es einen Punkt der dir genau beschreibt wie du im nachhinein dein System absicherst, zumal dann Beispielsweise keine zusätzlich Firewall oder Antivirenprogramm notwendig sind.
(natürlich angemessen an dein Surfverhalten )

Gruß
Sunny

ok. vielen dank für die schnelle auskunft!!! ^^

ich hab ferien da kann ich ja mal neu installieren!
ok, bis zum nächsten problem

Zitat:

Zitat von b6d

ok, bis zum nächsten problem

Das willst du doch garnicht, oder?
Na dann bis "bald" ...

Gruß
Sunny