Hallo!
Ich habe mich mit vermutlich infiziert, fragt mich nicht mit was. In meinem Hijackthis-log ist nichts auffäliges. Ich habe die Datei bereits an kaspersky vor einer woche geschickt habe aber bis heute keine antwort erhalten *brech*. Nun wollte ich mich mal an ein paar spezialisten wenden. Mein PC ist seiddem furchbar unstabil

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:50:06, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\vsnpstd.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\***\Desktop\mousometer.exe
C:\Programme\Treiber\Maus\SetPoint.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\mIRC\mirc.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\***\LOKALE~1\Temp\Rar$EX04.359\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\***\Desktop\mousometer.exe
O4 - Startup: SetPoint.lnk = C:\Programme\Treiber\Maus\SetPoint.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Mousometer.lnk = C:\Dokumente und Einstellungen\***\Desktop\mousometer.exe
O4 - Global Startup: SetPoint.lnk = C:\Programme\Treiber\Maus\SetPoint.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152542834218
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1BA8E6C1-E204-40CB-A27E-5B5B0DF5F721}: NameServer = 192.168.178.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{25EAD74F-FCA6-4A81-A111-6D60559FA27A}: NameServer = 192.168.178.20
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1F907F-FB7B-4DDF-A892-7C9A34BAC3A9}: NameServer = 212.19.48.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBA502A5-69B7-4E3E-9EF7-5DE5351249B6}: NameServer = 192.168.178.20
O17 - HKLM\System\CS1\Services\Tcpip\..\{1BA8E6C1-E204-40CB-A27E-5B5B0DF5F721}: NameServer = 192.168.178.20
O17 - HKLM\System\CS2\Services\Tcpip\..\{1BA8E6C1-E204-40CB-A27E-5B5B0DF5F721}: NameServer = 192.168.178.20
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
         

O17 - HKLM\System\CCS\Services\Tcpip\..\{4C1F907F-FB7B-4DDF-A892-7C9A34BAC3A9}: NameServer = 212.19.48.14 <- der eintrag kommt mir verdächtig vor, kann ihn aber nicht zuordnen. Eventuell kann es sein das es ein proxy ist...... hab aber aktuell keinen an. also könnt es genauso gut part des rootkits/virus sein.

h**p://rapidshare.com/files/3338668/Z0nEErS.rar

** = tt
<- AUSDRÜCKLICHE WARNUNG VOR DIESER DATEI; DIES IST DER VIRUS DEN MAN SICH PER DOPPELKLICK INSTALLIERT; BITTE NUR EXPERTEN ANGUCKEN

Wo und wie hast du den vermeintlichen Virus denn gefunden (genaue Pfadangabe)?
Lass Dein System doch mal mit Blacklight scannen und poste das Ergebnis.
Die IP-Adresse 212.19.48.14 könnte von Deinem Provider stammen, sagt Dir das was:

Zitat:

Whois Record
inetnum: 212.19.48.0 - 212.19.50.159
netname: PLUSLINE04
descr: Plus.line AG IP Services (HQ Ffm)
descr: Mainzer Landstr. 199, Frankfurt am Main

das ist ja mein problem, warscheinlich ist der verdammt gut versteckt oder das rootkit. und die exe die ich hochgeladen ist auch so auffällig doppelklick drauf und passiert nix, kann ja nur ein virus oder rootkit sein........... hab freenet als provider, kenn keine plusline04. ich scann grad mit dem black-dingsbums. werde dann log posten....

edit:
log von black

Zitat:

Zitat von MaCXyLo

Hallo!
Ich habe die Datei bereits an kaspersky vor einer woche geschickt habe aber bis heute keine antwort erhalten *brech*.

Das du bei einem Windows Vista Key-Generator den du da eingeschickt hast keine Antwort bekommst wundert mich nicht sonderlich.
Prinzipiell würde ich jetzt sagen: Selbst schuld, von solchem Mist lässt man schlicht und ergreifend die Finger.

Solche Key-Generator sind afaik oft durch Verschlüsselungen geschützt weshalb eine Heuristik ihn dir unter Umständen als Virus anzeigt, was aber noch nichts zu heißen hat.

Im Zweifelsfall setze eben dein System neu auf und gut ist. Dann bist du auf der sicheren Seite.

ja löst mein problem nicht und funzt bei mir au nicht als windows vista keygen. die exe schließt sich einfach wieder. ich hab gewusst das das mit dem selber schuld wieder kommt :P aber ich habs jetz mal einfach vermutet weil das viel zu auffälig ist das sich ein programm ohne etwas zu machen sich schließt.

Es dreht sich nur darum, das wenn kein Scanner bei Jotti oder Virustotal das Ding überhaupt erkennt du sowiso nahezu keine Möglichkeit hast dein System wieder zu bereinigen. Bei Rootkits gilt das gleiche.
Deshalb würde ich sagen, setze dein System neu auf, lass in Zukunft die Finger von Warez und gut ist. Damit wäre dein Problem gelöst.

ne hab mir vorgenommen wenn vista rauskommt auf linux umzusteigen, hab mein gesamten warez inzwischen scho gelöscht tjaja. hab kein bokc mehr 0815 anwender zu sein