Hallo!
Ich habe seit gestern ein relativ heftiges Trojaner-Problem... ich hatte nacheinander die Viren Vundo.Gen, Agent.Age und noch weitere...
Die infizierten Dateien habe ich
gelöscht, nachdem ich mich auf anderen PCs versichert hatte, dass diese dort überhaupt nicht existieren.
Dazu zählten:
mscheck.exe
msmouse.dll
closeapp.exe
hivnxrkt.dll
Alle im
System32-Ordner.
Ich habe gelesen, dass der Agent.Age anscheinend neue Malware aus dem Internet zieht und bemerkt, dass immer ungefragt der IE (ich benutze eigentlich Firefox) geöffnet wird und mir Werbung vor die Nase klatscht, ich hätte Viren (was mir natürlich selber klar ist
)... jedenfalls hat Antivir immer kurz, nachdem ich dieses Zeug geschlossen hatte, einen neuen Virus festgestellt.
Daraufhin habe ich mit ZoneAlarm dem IE einen Internetzugriff verboten... grade eben hat sich aber auf einmal ein neues Tab im Firefox geöffnet, die IP in der Adressleiste war
89.188.16.10. Es wurden ziemlich viele GET-Variablen für PHP übermittelt, glaube ich.
Und da im System Volume irgendwas-Ordner auch Funde waren, habe ich die Systemwiederherstellung ausgeschaltet, neu gestartet, und wieder eingeschaltet...
Aber wegen dieses Tabs, das nach alledem erst kam, bin ich mir recht sicher, dass ich noch irgendwas haben muss (ich habe ja vielleicht auch alles falsch gemacht).
Darum, schlussendlich, mein HijackThis-Log:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:21:49, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\LClock\lclock.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Conceptworld\QNPlus\QNPlus.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LClock] D:\Programme\LClock\lclock.exe
O4 - HKCU\..\Run: [QNPlus] D:\Programme\Conceptworld\QNPlus\QNPlus.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FFE4548-2862-4B82-B726-2DCEB44275FD}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe
|
15.04.2007, 13:35
Baum-Darstellung