Hi@all
Vor ein paar Tagen fing meine "alte Dame" an den Bildschirm einzufrieren und nur noch schlecht oder garkeine Programme/dateien auszuführen.Dann aufeinmal war der Druckertreiber weg und konnte nur schwer wieder installiert werden *das war schon `ne Meisterleistung*
Ich habe mal `ne HiJackThisFile anfertigen lassen...Könnte im PC der Wurm drin sein???

Logfile of HijackThis v1.99.1
Scan saved at 00:17:27, on 12.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\mssmpp.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Desktop\Foxmail\Foxmail.exe
C:\WINDOWS\system32\mspaint.exe
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://kidda.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {117DDD60-DC72-4A5A-802D-EE11E1545808} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: (no name) - {00000000-5736-4205-0008-f7ed0776fb27} - (no file)
O3 - Toolbar: My EmailEmoticons Toolbar - {D5A5A2C7-7C4C-4a60-B507-B62932CE6ADD} - (no file)
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKCU\..\Run: [PeerGuardian 2] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6777D6C-CCFD-4F08-B52F-1135D2566835}: NameServer = 217.237.149.205 217.237.150.188
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: DirectX Service (DirectLosm) - Unknown owner - C:\WINDOWS\
O23 - Service: GBPoll - Roxio, Inc. - C:\Programme\Roxio\GoBack\GBPoll.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Unknown owner - C:\WINDOWS\system32\LEXBCES.EXE (file missing)
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TSMService - Unknown owner - C:\Programme\T-DSL SpeedManager\tsmsvc.exe (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------------------
Außerdem zeigt ZoneAlarm laufend diese Meldung:
Win32/Rbot!Generic = Behandelt
--->Behandelt??? Ja, diese Meldung kommt aber ca. 1000mal am Tag!!! *grübel*

Danke 4 Eure Hilfe

Hi,

lasse bitte mal folgende Datei bei virustotal auswerten:
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

Du wirst sie selber suchen müssen, dabei kannst du Dateien so sichtbar machen.


Allerdings will ich dir keine Hoffnung machen, sorry, bei einem Befall durch Backdoortrojaner (und dazu gehört Rbot leider) lässt sich ein zuverlässiges System nur durch ein Neuaufsetzen erreichen. Allerdings kann ich die Datei nicht zuordnen und würde daher gerne wissen, ob sie der Bösewicht ist, oder doch ein legitimer Prozess.

lg myrtille

Zitat:

Zitat von B3N50N

Hi@all
Vor ein paar Tagen fing meine "alte Dame" an den Bildschirm einzufrieren und nur noch schlecht oder garkeine Programme/dateien auszuführen.Dann aufeinmal war der Druckertreiber weg und konnte nur schwer wieder installiert werden *das war schon `ne Meisterleistung*
Ich habe mal `ne HiJackThisFile anfertigen lassen...Könnte im PC der Wurm drin sein???

Logfile of HijackThis v1.99.1
Scan saved at 00:17:27, on 12.02.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Also da brauche ich gar nicht weiterlesen. Wer mit so einer uralten Betriebssystemversion unterwegs ist, darf sich über Infektionen nicht wundern. Wie heißt es in den zehn goldenen Regeln in Regel 1: "Halten Sie Ihr Computer-System immer auf dem neuesten Stand!" Ein uraltes Windows XP SP1 und ein entsprechender Internetexplorer, da hilft kein Herumdoktern: Neuinstallation!

Zitat:

Zitat von myrtille

O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe

Na, wenn sie sich als Microsft... in die Registry einträgt, wird sie wohl kein legitimer Prozess sein...

Gruß, Franz

Zitat:

Zitat von Franz1968

Na, wenn sie sich als Microsft... in die Registry einträgt, wird sie wohl kein legitimer Prozess sein...

Gruß, Franz

Ja.
Das dachte ich auch, aber dieser Beitrag den ich als "böse" erkennen wollte, weil er sich auch als windows einträgt

Zitat:

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

Ist tatsächlich ein Windowsprozess...

Und der oben zitierte Prozess wird nur als böse gelistet, wenn die exe mssmppp.exe heißt. Ich bin doch nur neugierig.
Es hilft mir ja auch nicht viel, wenn ich weiß dass das Ding böse ist, ich möchte auch wissen was es genau ist.

Zitat:

Zitat von myrtille

Ja.
Das dachte ich auch, aber dieser Beitrag den ich als "böse" erkennen wollte, weil er sich auch als windows einträgt

Ist tatsächlich ein Windowsprozess...

Mich machte der Schreibfehler stutzig: "Microsft" statt "Microsoft".

Zitat:

Zitat von myrtille

Es hilft mir ja auch nicht viel, wenn ich weiß dass das Ding böse ist, ich möchte auch wissen was es genau ist.

Da hast du völlig recht.

Gruß, Franz

Thx. Wer lesen kann ist klar im Vorteil.
Das war mir in der Tat weder im Ursprünglichen noch in deinem Beitrag aufgefallen.

Naja, der Eintrag deutet mit oder ohne "o" eindeutig auf Malware hin und wenn man google fragt, auch ziemlich eindeutig aufn Backdoor(ebenfalls unabhängig vom o ).
Also hab ich zum Glück nicht viel falsch gemacht.

Hallo,
nein...falsch gemacht hast du nix,wenn auch aus Versehen...

Zitat:

Es hilft mir ja auch nicht viel, wenn ich weiß dass das Ding böse ist, ich möchte auch wissen was es genau ist.

So...da hat also ein Hund einen richtig großen Haufen auf die Straße gemacht,jemand ist reingetreten und du möchtest unbedingt wissen, wie der Hund hieß, der ihn hingemacht hat ?

Btw.
ich vermisse den kategorischen Imperativ....
"Du setzt neu auf und besorgst dir vorher den Service Pack 2 !!

Irrlicht

Zitat:

Zitat von irrlicht

Hallo,
nein...falsch gemacht hast du nix,wenn auch aus Versehen...

Ich lern ja dazu.
In diesem Fall hätte ich ja nun schlimmsten Falls eine saubere Datei auswerten lassen, der Schaden hätte sich in Grenzen gehalten.
Und das Neuausetzen wird dadurch ja nun nicht außer Kraft gesetzt. *rausred*


Und nur für Irrlicht:
kategorischer Imperativ

Wie kannst du es wagen ohne SP2 ins Netz zu gehen?

Soviel Dummheit gibts doch gar nicht, sofort die fehlenden ca. 100 Updates runterladen und die Kiste neuaufsetzen!
Halte dich für einen sicheren Betrieb deines Computers bitte an die Anleitung, die ich im ersten Post verlinkt hab.

Ich kann das einfach nicht so richtig. Das musst du dann machen.