tach auch
ich machs kurz... häng bei meiner freundin an nem spaihron (nur modem ohne router o.ä.)
problem.. nachdem ich ihren nun clean hab ist meiner infiziert..
fixblast und der sasser remover von symantec finden nix
würd gern wissen welcher wurm es ist... um dediziert vorgehen zu können
symptome..
zuweilen...
100% cpu auslastung
shudown durch lsass.exe (kann mit shutdown -a gestoppt werden)
unter netstat werden 1000de iü´s angewählt (letztens wars ibm dänemark...(evtl ddos??)
mein hijack this...
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 10:27:49, on 21.2.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Aston\aston.exe
C:\Aston\XP\internat.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CloneCD\CloneCDTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\winxp.exe
C:\WINDOWS\System32\kkfnsjlrmk.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\mrass.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Rainmeter\Rainmeter.exe
C:\Programme\WinGate\wgengmon.exe
C:\PROGRA~1\WinGate\WGVPNMon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\WINDOWS\System32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Prism Microsystems\WCWindows\SrvShell.Exe
C:\Programme\WinGate\WinGate.exe
C:\Programme\Prism Microsystems\WCWindows\WcwService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\explorer.exe
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\Odin\Eigene Dateien\HijackThis.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Programme\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - HKLM\..\Run: [HydraVisionViewport] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\srytuiaq.dll",setvm
O4 - HKLM\..\Run: [value] mrass.exe
O4 - HKLM\..\Run: [] winxp.exe
O4 - HKLM\..\Run: [Restor] kkfnsjlrmk.exe
O4 - HKLM\..\RunServices: [value] mrass.exe
O4 - HKLM\..\RunServices: [] winxp.exe
O4 - HKLM\..\RunServices: [Restor] kkfnsjlrmk.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [value] mrass.exe
O4 - HKCU\..\Run: [] winxp.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Startup: Rainmeter.lnk = C:\Programme\Rainmeter\Rainmeter.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WinGate Engine Monitor.lnk = C:\Programme\WinGate\wgengmon.exe
O4 - Global Startup: WinGate VPN Monitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O16 - DPF: {64E27CFB-8B69-4B83-80F0-36A81437D587} - http://activex.camfrogweb.com/basic/cfweb_activex.camfrogweb.com-basic_instmodule.exe
O16 - DPF: {C8D533D0-31AA-4EBA-BD20-D5126963E0AC} (WollnyITService.ActiveChat) - http://www.webchat-solutions.de/chats/ActiveChat.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{9F67BAA8-7105-4408-88FC-98C8F62845AE}: NameServer = 213.191.74.11 213.191.92.82
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\System32\LckFldService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Mouse Cursor Monitor (mousecrm) - Unknown owner - C:\WINDOWS\System32\mousecrm.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: WcwService - Prism Microsystems, inc - C:\Programme\Prism Microsystems\WCWindows\SrvShell.Exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Qbik Software NZ Ltd - C:\Programme\WinGate\WinGate.exe
|
ahja einer nch pestpatrol gindet nüx und onlinescan iss gerad nich drin
mozilla is auch defekt js3250 ( jaja... schon gefunden iss aber nich der einzige und der macht oben besagtenes nicht...)
grüsse ...
21.02.2007, 10:42
Baum-Darstellung