Ich bin zum ersten mal auf Empfehlung eines Arbeitskollegen hier.

Während meines Urlaubs ist der Norton Antivirus abgelaufen und schon beim ersten Mail herunterladen muss ich mir was eingefangen haben.

Nach einer Weile im Internet startet der Rechner von selber:
Start-Button
Ausführen
cmd

und dann meistens im MS-DOS Fenster etwas mit
tftp -i xxxx

Auch wenn man das noch abbricht, kann dannach von diesem Rechner keine Internetseite mehr aufgerufen werden (andere Rechner können aber über den gleichen Router die Internetseiten aufrufen - vor Ablauf der Sache geht das Internet an diesem Rechner auch).

Ich vermute, dass ich mir einen HiJacker eingefangen habe, da ich ihn mit allen Virenprogramme und Adware nicht weggebracht habe.

Ich habe allerdings das Logfile gezogen, als der Rechner vom Internet getrennt war. Da fiel mir auf, dass der HighJacker nicht einsetzte und scheinbar erst auftritt, wenn eine Internetverbindung da ist. Falls ich also ein Logfile ziehen soll, wenn der Rechner eine Internetverbindung hat, bitte mir das mitteilen.

Hier jedenfalls das LogFile:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 18:03:36, on 31.10.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\CTSvcCDA.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\RealVNC\VNC4\winvnc4.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE
C:\WINNT\SYSTEM32\3cmlink.exe
C:\WINNT\system32\JupitCo.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\SYSTEM32\3cshtdwn.exe
C:\WINNT\SYSTEM32\3cmlink.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINNT\msnserver.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\aojngyghf.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\WINNT\explorer.exe
C:\Programme\wincmd\WINCMD32.EXE
H:\***soft\Software\AntiVirus\HighJackThis\HijackThis.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\WINNT\msagent\AgentSvr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.cnn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://w*w.msn.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\system32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [3c1807pd] C:\WINNT\SYSTEM32\3cmlink.exe RunServices \Device\3cpipe-3c1807pd
O4 - HKLM\..\Run: [USB SECURITY DEVICE CoInstaller] JupitCo.exe
O4 - HKLM\..\Run: [Internat Conf] \bootconf.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [ WinINet] C:\WINNT\ConnectionStatus\services.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows LoL Layer] aojngyghf.exe
O4 - HKLM\..\Run: [Microsoft Svchost local services] msnserver.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows LoL Layer] aojngyghf.exe
O4 - HKLM\..\RunServices: [Microsoft Svchost local services] msnserver.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [_WinINet] C:\WINNT\ConnectionStatus\services.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Windows LoL Layer] aojngyghf.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: Internet Explorer.lnk = ?
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O19 - User stylesheet: C:\WINNT\default.css (file missing) (HKLM)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTSvcCDA.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\winvnc4.exe" -service (file missing)
O23 - Service: Iomega Active Disk (_IOMEGA_ACTIVE_DISK_SERVICE_) - Iomega Corporation - C:\Programme\Iomega\AutoDisk\ADService.exe

Danke!

E. Gregory
Bregenz/Österreich

@Eddiesoft

Zitat:

Während meines Urlaubs ist der Norton Antivirus abgelaufen

Freu dich darüber und kaufe dir ein anständiges Antiviren-Programm (KAV, NOD, McAfee, BitDefender...).

Zitat:

schon beim ersten Mail herunterladen muss ich mir was eingefangen haben.

Wann hast du zum letzten mal die Windows-Update-Seite besucht?
Mehrere Programme bzw. Prozesse kommen mir unbekannt vor. Wenn du ein bisschen Zeit hast, kannst du noch eScan-Link in meiner Signatur erforschen. Wenn du eilig hast - dann ist der Link Neuinstallation von Windows für dich .

PS: Schöne Grüße deiner Stadt und weiter nach Dornbirn und Schwarzenberg: Die schönste Erinnerungen vom Sommerurlaub .

Danke Rene!

Ad 1:
Ich habe inzwischen das Anti-Vir installiert (das läuft auf meinen Notebooks und dem Testrechner seit einigen Jahren ohne Probleme und ist noch dazu kostenlos, wenn man es nur für private Zwecke verwendet).

Ad 2:
Ich war vom 25. 9. bis 27. 10. eben nicht im Lande und in der Zeit habe ich weder das Anti-Virus-Programm noch das Windows Update durchführen können. Eigentlich habe ich das Windows Update als Automatik configuriert, er hätte also die nötigen Updates beim ersten Anmelden durchführen sollen. Ich werde aber heute Abend nochmals das Windows Update vorsichtshalber händisch mal ankicken. Auch den eScan werde ich heute Abend mal versuchen.

Noch was:
Ich habe mir zwichenzeitlich den Firefox auf den Rechner als alternativ-Browser installiert und da ist mir das merkwürdige Verhalten nicht mehr aufgefallen.

Ich beobachte die Sache aber weiter und stelle meine neuen Erkenntnisse hier rein.

Falls du aber im Logfile noch was finden kannst, wäre ich dir dankbar (da ich mit dem Firefox einen Workaround gefunden habe, eilt es auch nicht mehr so sehr).

Stinger: Findet nichts
eScan: Fand ein paar Sachen, wurden gelöscht
Windows Update: Rechner war bereits auf den neuesten Stand

Fehler trat trotz der Verwendung von Firefox wieder auf. Allerdings ist mir aufgefallen, dass er die Sachen anfing, als ich ein Mail über das Outlook versendet habe. Vielleicht ist da ein Zusammenhang.

Es wird folgende Seite aufgerufen:
h**p://xoomer.alice.it/marianoz/eheh/realmbot.exe

Es wird eine realmbot.exe heruntergeladen und ins Installationsverzeichnis des Anti-Virus Softwares gestellt.

Langsam wird die Sache lästig!

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

PS:
Der Rene heisst Rene-Gad. Soviel Zeit sollte sein

Ich bin noch nicht dazugekommen, wie Überprüfungen im vorigen Posting zu machen, habe aber hier noch ein paar weitere Hinweise, die ich in der Zwischenzeit reinstellen will.

Das Problem ist auf einer 2. Platte bei mir aufgetreten (mein PC hat Wechselfestplatten, daher sind diese Platten nie gleichzeitig in Betrieb gewesen und ich wüsste nicht, wie eine "Infektion" zwischen ihnen stattfinden konnte). Ich gehe davon aus, dass beide Platten getrennt von einander verseucht wurden. Die 2. Platte hat kein Mail Programm (allerdings auch den Internetexplorer) und statt dem Norton Anti-Virus habe ich bei der Platte immer schon das Avira Anti-Vir PE bzw. Classic verwendet.

Meine Laptops (einer auch mit Windows 2000 SP 4 und einer mit Windows XP) zeigen bis jetzt noch keine komischen Zeichen.

Ich habe hier noch einen Screenshot vom geöffneten Shell machen können, vielleicht hilft das weiter:

Diese Zwischenpostings kannst Du getrost vergessen. Tue, was man Dir rät, ansonsten kann es schnell passieren, dass die Hilfe eingestellt wird.

F-Secure Backlight Logfile:

Zitat:

11/05/06 22:48:52 [Info]: BlackLight Engine 1.0.47 initialized
11/05/06 22:48:52 [Info]: OS: 5.0 build 2195 (Service Pack 4)
11/05/06 22:48:52 [Note]: 7019 4
11/05/06 22:48:52 [Note]: 7005 0
11/05/06 22:48:59 [Note]: 7006 0
11/05/06 22:48:59 [Note]: 7011 1264
11/05/06 22:48:59 [Note]: 7026 0
11/05/06 22:48:59 [Note]: 7026 0
11/05/06 22:49:14 [Note]: FSRAW library version 1.7.1020
11/05/06 22:55:22 [Note]: 2000 1012
11/05/06 22:55:22 [Note]: 2000 1012
11/05/06 22:59:35 [Note]: 7007 0

Ewido Logfile:

Zitat:

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 00:39:36 07.11.2006

+ Scan-Ergebnis:



[Hier waren die ganzen Cookie einträge]


D:\Installationssoftware Laptop\ARJ\arj32v3n.exe -> Worm.Storm : Keine Aktion durchgeführt.
D:\Installationssoftware\ARJ\arj32v3n.exe -> Worm.Storm : Keine Aktion durchgeführt.
D:\USB_Platten\15GB\Installationssoftware\ARJ\arj32v3n.exe -> Worm.Storm : Keine Aktion durchgeführt.


::Berichtende

Ich habe dann die 3 Files zuerst unter Quarantäne stellen lassen (wie vorgeschlagen) und danach weggelöscht.