|
Plagegeister aller Art und deren Bekämpfung: Habe den Wurm/Trojaner?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.02.2007, 21:36 | #1 |
| Habe den Wurm/Trojaner? Hallo brauche mal seid längerer zeit wiedermal Hilfe. Habe irgendwie durch nero7 (natürlich trial), vielleicht unter umständen nen wurm oder ähnliches aufm system. aufgefallen ist es mir dass sich die netzangriffe um einiges vermehrt haben und ständig habe ich freigegebene ordner im meinem system. wo hauptsächlich nur bilder drin sind und musik habe absout keine download "helfer" wie (kaz***,emu**,bitre***** u. o. ä.). würde gerne mal fragen ob es da was verdächtiges ist. Blacklight findet nichts. VVVVVVVVVVVVVVHijackThisVVVVVVVVVVVV Logfile of HijackThis v1.99.1 Scan saved at 21:31:41, on 18.02.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\System32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Programme\NETGEAR\WG311T\wlancfg5.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [AS00_Gear311T] C:\Programme\NETGEAR\WG311TSU\Utility\Gear311T.exe -hide O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Ahnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O15 - Trusted Zone: http://*.63.219.181.7 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Danke im Vorraus Mfg ADF |
18.02.2007, 22:03 | #2 |
| Habe den Wurm/Trojaner? Ich habe zwar nicht Nero 7 aber Nero 6. Darunter gibt es ein Programm Nero MediaHome, und genau dieses legt Freigaben fuer Musik und Video Ordner im lokalen Netzwerk an. Deine Freigaben koennen also durchaus von Nero verursacht sein. Ueberpruefe mal die Einstellungen im Nero.
__________________Zu deinem Logfile kann ich leider nichts sagen, da bin ich kein Experte, aber da werden sich vermutlich noch andere zu Wort melden. |
18.02.2007, 22:30 | #3 |
| Habe den Wurm/Trojaner? jup danke
__________________werde gleich mal nachschauen. Mfg adf |
19.02.2007, 12:34 | #4 |
| Habe den Wurm/Trojaner? hmm habe die MediaHome erweiterung nicht drin. das problem ist das, dass die dateien die in dem freigegebenen ordner sind. zusammengestellt wurden d.h. es sind immer ein paar aus dem ordner (bsp1) dann ausm ordner (bilder2) einige musikdateien von meiner zweiten festplatte. und eine datei ohne endung (bild1psp). diesen ordner haben zwei kontakte aus meiner msn liste bekommen. habe laut spybot dsoexploit drin den ich ned wegkrieg Mfg ADF |
19.02.2007, 12:39 | #5 |
/// AVZ-Toolkit Guru | Habe den Wurm/Trojaner? Hallo. Um dir helfen zu koennen musst du mehr Infos rausruecken. -Welche Netzwerkangriffe? Welche Firewall meldet dir das? Vorhandene LogFiles oder Berichte bitte posten. -Was fuer ein AntiiViren Proggi nutzt du? Hast du mit diesem schon einen Scan gemacht? usw usf. Dein logfile sieht uebrigens gut aus. Allerdings wirst du wenig Leute finden die dir bei dieser System Kruecke helfen. UPDATE WINDOWS UND DEN M-I-E und sichere dein System ab! ComSafe - Webseite für Computersicherheit (IT-Security) Gruss Undoreal |
20.02.2007, 00:04 | #6 |
| Habe den Wurm/Trojaner? hallo. ähm hab die sygate personal firewall pro. fritzbox (HW)firewall ausschnitt ausm logfile: 02/19/2007 12:49:46 3 Outgoing TCP ad.doubleclick.net [216.73.87.181] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1688 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 1 02/19/2007 12:48:42 02/19/2007 12:48:42 Ask all running apps 01/19/2007 12:49:46 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1691 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 6 02/19/2007 12:48:41 02/19/2007 12:48:45 Ask all running apps 02/11/2007 12:41:02 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1572 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 2 02/19/2007 12:40:00 02/19/2007 12:40:00 Ask all running apps 01/28/2007 12:38:34 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.51] 00-15-0C-65-FB-BC 80 192.168.178.20 00-14-6C-2D-A6-DF 1497 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 2 02/19/2007 12:37:30 02/19/2007 12:37:30 Ask all running apps 02/19/2007 11:56:50 3 Outgoing TCP ad.de.doubleclick.net [209.62.177.181] 00-15-0C-65-FB-BC 443 192.168.178.20 00-14-6C-2D-A6-DF 1346 C:\Programme\Mozilla Firefox\firefox.exe Drag On DRAGON-NEO-2 Normal 11 02/19/2007 11:54:03 02/19/2007 11:55:49 Ask all running apps als antivirus habe ich: mwav(escan). escan meldet nichts hijack: hat nichts spybot: außer dsoexploit nichts security task manager: nicht wirklich was verdächtiges ausser das wlan programm. habe mit meiner frau gesprochen sie hat gemeint sie hat ne meldung von msn gekriegt hat, irgendwelche software runterzuladen für (weiss sie nicht mehr) und das hat sie auch getan. obs irgendwas damit vll zu tun hat? ich war letzte woche auf montage d.h ich kann nicht nachvollziehen obs damit was zutun hat. mfg adf |
Themen zu Habe den Wurm/Trojaner? |
adobe, bho, dll, download, dsl, excel, explorer, firefox, firewall, frage, internet, internet explorer, mozilla, mozilla firefox, musik, netgear, ordner, pdf, programme, rundll, seiten, software, symantec, unknown file in winsock lsp, urlsearchhook, windows, windows xp, wurm |