Hallo Leute ,

ich habe es mit dem Malware sypcrush zu tun. Ich habe die Software HijackThis installiert und das folgende Logfile erzeugt, kann mir jemand sagen, was ich löschen soll:

Logfile of HijackThis v1.99.1
Scan saved at 14:52:13, on 16.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\windows\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe
C:\windows\system32\RUNDLL32.EXE
C:\windows\RTHDCPL.EXE
C:\windows\tsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Menara\dslmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\windows\system32\nvsvc32.exe
C:\windows\System32\PAStiSvc.exe
C:\windows\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\windows\system32\wuauclt.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [tsnpstd3] C:\windows\tsnpstd3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Menara\dslmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?ab2c9bd43e4f4e349f2b2df53a91a3b7
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?ab2c9bd43e4f4e349f2b2df53a91a3b7
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89316586-6B38-4382-881F-835770223459}: NameServer = 212.217.0.3 196.217.246.210
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\windows\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\windows\System32\PAStiSvc.exe

Danke an Allen...

Lahs

Hallo.

Lasse bitte Spybot und AdAware mit aktuellen Signaturen erst im abgesicherten und dann im normalen Modus scannen. Entferne ALLES was gefunden wird.

Poste danach ein frisches HJT log.

Gruß

Undoreal

Hallo Undoreal,

ich habe nicht richtig deine Vorgehensweise verstanden. Ich habe jetzt den Rechner im abgesicherten Modus gestartet und habe ein Logfile erstellt. Wie soll ich jetzt weitergehen.

Lahs

Hallo Undoreal,

ich habe nicht richtig deine Vorgehensweise verstanden. Ich habe jetzt den Rechner im abgesicherten Modus gestartet und habe ein Logfile erstellt. Wie soll ich jetzt weitergehen.

Spybot und AdAware sollten auf den neusten Stand sein (Update) und damit über die neusten Virensignaturen verfügen, dann scannst Du das System mit beiden Programmen im abgesicherten und anschl. im normalen Modus, alles was dabei jedesmal gefunden wird löscht Du einfach.

Zitat:

Spybot und AdAware sollten auf den neusten Stand sein (Update) und damit über die neusten Virensignaturen verfügen, dann scannst Du das System mit beiden Programmen im abgesicherten und anschl. im normalen Modus, alles was dabei jedesmal gefunden wird löscht Du einfach.

jup, danke Mobius

Hallo die Beiden,

ich habe die beiden Schritten durchgeführt und der folgende Logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 18:05:47, on 16.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\windows\tsnpstd3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\windows\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Menara\dslmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Protection Bar - {DF4E7A0C-E233-4906-B4C1-A404356541FF} - C:\Programme\Video ActiveX Access\iesbpl.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\j2re1.4.2_14\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [tsnpstd3] C:\windows\tsnpstd3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\Menara\dslmon.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?ab2c9bd43e4f4e349f2b2df53a91a3b7
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?ab2c9bd43e4f4e349f2b2df53a91a3b7
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_14\bin\npjpi142_14.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{89316586-6B38-4382-881F-835770223459}: NameServer = 212.217.0.3 196.217.246.210
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\windows\System32\PAStiSvc.exe

Danke

Diesen solltest Du fixen (Häckchen bei "Fixed checked"):
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

Die HJT.exe solltest Du auch mal umbenennen, z.B. in Hijackthis2007.exe o.ä.
Was haben eigentl. die Suchergebnisse von Spybot und AdAware ergeben?

Scan mal Dein System nach dieser Anleitung hier im Board:
h**p://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html
Das Ergebnis der Auswertung postest Du hier.

NICHT FIXEN!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

MOBIUS was soll das ? Die online Auswertung schlägt öfter fehl asl man so glauben mag d.h. gibt es uns ja ! Und wenn du dich schon danach richtest dann tue es wenigstens richtig verdammt nochmal; guck dir mal die Besucherbeurteilung an!!!

Bitte gebt nur Anweisungen wenn ihr euch WIRKLICH SCIHER seid denn die User folgen euch blind !!!


@Lahs: Hast du noch Probleme??

ALCMTR.EXE ist Spyware.

Die Alcmtr.exe wird mit der Software zur Realtek Soundhardware installiert. Soweit sind wir uns ja einig. Das Programm sammelt Informationen und leitet sie weiter. Für die Funktion des Sounds ist es nicht nötigt, also kann man es im Autostart deaktivieren. Das Sammeln der Informationen belastet das System und es wird dadurch langsamer.

Es heisst aber auch:
(C:\Windows, C:\WINNT, C:\hp\drivers\audio_HD_realtek) Realtek AC97 Audio Event Monitor (Realtek Azalia Audio Event Monitor), Die Datei ist erforderlich für die optimale Erkennung der Audioanschlüsse durch das System. Die Datei ist völlig bedenkenlos.

Also, Cheffe, was ist denn nun? Im Zweifelsfalle für oder gegen den Angeklagten? Formuliere demnächst Deine Aussagen etwas freundlicher, muss mich ja nicht ständig hier anp.... lassen !

Zitat:

ALCMTR.EXE ist Spyware.

wo hast du das denn her?????

wollen wir sie bei virustotal auswerten lassen? ^^

Zitat:

This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing problems.

Zitat:

Hab auch in anderen Foren geschaut und es gibt geteilte Meinungen und Erfahrungen,ich lasse es mal da es Original seit dem Kauf oben ist und kein Sicherheitsprogramm was gegenteiliges behauptet bzw. gefunden hat!(Adaware,Norton,XP-Clear usw.)

Zitat:

ALCMTR.EXE is a process installed alongside RealTek AC97 audio hardware and provides a monitoring service.

-------------

Zitat:

Deine Aussagen etwas freundlicher, muss mich ja nicht ständig hier anp.... lassen !

da gebe ich dir Recht aber es werden zu häufig unquallifizierte Aussagen gemacht... (ich sag' ja nicht, dass ich nicht auch schon mal ziemlich bescheidene Anweisungen gegeben habe.. -by the way- Danke, dass mir damals aus der Irre ein Licht aufging)

Zitat:

erforderlich für die optimale Erkennung der Audioanschlüsse durch das System

und damit hast du Recht! warum gibtst du dann den Hinweis zum Fixen??

netten Gruß

Ich glaub wir schreiben hier aneinander vorbei.

ALCMTR.EXE ist Spyware. Wo ich das her habe?
Hier Du gucken hier: h**p://www.google.de/

Warum gibst Du mir im letzten Teil Recht, und im ersten nicht, sorry, kann ich jetzt nicht nachvollziehen! Und lass das mit dem "netten Gruß", nehm ich Dir eh nicht ab und tut der Sache nicht gut, letzt endlich geht es doch darum Leuten zu helfen, oder?
Du hast geschrieben:
Bitte gebt nur Anweisungen wenn ihr euch WIRKLICH SCIHER seid denn die User folgen euch blind !!!
Ich frage mich, wenn Du aus englischen Texten zitieren musst, was manch einer kaum versteht, wie kannst Du Dir bei Deiner Aussage sicher sein?
Das Thema ist zu komplex, das man alles versteht. Diese EXE ist nicht klar definiert, es gibt zweideutige Meinungen! Also, komm mal von Deinem hohen Ross herunter (Ohne Deine Integrität in Frage zu stellen) und fahre fort....
Zitat Undoreal:
wollen wir sie bei virustotal auswerten lassen?
@Lahs: Hast du noch Probleme??
Ich hab jetzt auch keinen Bock mehr mich darüber mit Dir auseinander zu setzen, ist eh blödsinn!

Der nette Gruß war Ernst gemeint. Meinst du mir macht es Spaß dich anzuscheißen? Bestimmt nicht! Ganz ehrlich, ich habe auch mal dumme Beiträge geleistet siehe unten..

Und sry für die Englischen Texte aber sei froh, dass ich nicht mit Russisch komme das kann dir hier auch passieren...
Und im Netz bracuht man die Weltsprache nun Mal..

Ich denke (wie viele andere auch) jeden Falls nicht, dass Realtek User ausspioniert; wenn man davon ausgeht kann man gleich das komplette Microsoft Betriebssystem runterschmeißen.

Zitat:

[erforderlich für die optimale Erkennung der Audioanschlüsse durch das System]

das trifft es ganz gut..

Gruß ( dann halt nich nett :P )

Undoreal

hallo nochmal,

ich weiss immer noch nicht was ich aus dem Logfile fixen sollen?

Gruss Lahsen

Na gut, das war jetzt das "Wort zum Sonntag", Nobody ist perfect ist das Resultat! Weder Du noch Ich (Noch weniger Ich ) Ich denk mir mal, die Bedrohungen werden immer raffinierter. Ich glaub, in einer Welt vom "globalen Dorf" sollte man die Ressourcen nicht mit so einer Kinderkacke ausreizen, wer weiss was in Zukunft noch alles für neue "Sächelchen" kommen! Es sollte im Sinne aller hier im Forum sein, zusammen zu arbeiten!
Hoffe das siehst Du jetzt nicht anders, aber zum Abschluß lass mir gesagt sein:
LOL-so, andere Meinung,freies Land-was will man mehr???

Mmmhhh... Wir fixen jetzt nichts!
Hast Du Zeit für einen e-scan nach folgender Anleitung?
h**p://www.trojaner-board.de/38066-escan-anleitung-und-find-bat-autor-mightymarc.html

Auswertung erfolgt von von undoreal!