Hallo. Ich nutze seit 3 Tagen Vista und war auf der Suche nach einem Virenscanner. Irgendwann hab ich mir wohl was eingefangen denn plötzlich tun sich INet Explorer Fenster mit werbung auf und in der Nacht tönt dumpfer Sound aus meinen Boxen. Zudem zeigt sich ständige Rechnerbewegung die sich über die Maus zeigt wenn mein System kurzfristig ( alle paar Minuten ) busy ist. War ein bisschen erschrocken darüber und hab gleich mal Hijack drüberlaufen lassen.

OS: Vista Ultimate ( Interne Firewall eingeschaltet)

Zitat:

Hijack Log

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 14:29:14, on 10.07.2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\ICQ6\ICQ.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\admin\Desktop\HiJackThis_v2.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: HttpWatch - {F1F69322-008F-4895-B2BF-AD194219825A} - C:\Program Files\HttpWatch\httpwatchsc.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avp] C:\Windows\avp.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O8 - Extra context menu item: Download mit USDownloader - C:\Users\admin\Desktop\USDownloader1346\Ext\downloadie.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: IEWatch Professional - {78E5BB46-9A20-402F-BA66-B5634D177D77} - C:\Program Files\IEWatch\IEWatch.dll
O9 - Extra 'Tools' menuitem: IEWatch - {78E5BB46-9A20-402F-BA66-B5634D177D77} - C:\Program Files\IEWatch\IEWatch.dll
O9 - Extra button: HttpWatch Basic - {D103E85B-5D67-42c1-8C83-F01079DBAB26} - C:\Program Files\HttpWatch\httpwatch.dll
O9 - Extra 'Tools' menuitem: HttpWatch Basic - {D103E85B-5D67-42c1-8C83-F01079DBAB26} - C:\Program Files\HttpWatch\httpwatch.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O13 - Gopher Prefix:
O20 - Winlogon Notify: jkhhg - C:\Windows\system32\jkhhg.dll (file missing)
O20 - Winlogon Notify: urqpool - C:\Windows\SYSTEM32\urqpool.dll
O20 - Winlogon Notify: winqlr32 - C:\Windows\SYSTEM32\winqlr32.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5281 bytes

Vielen Dank. Gruss jonlar

Ja, das System ist mit mehreren Schädlingen infiziert - sieht man auf den ersten Blick.

Wo um Himmels Willen hast Du nach AntiViren-Software gesucht? Und von wo hast Du Dir evtl. etwas heruntergeladen und installiert?

Zitat:

Zitat von jonlar

Hallo. Ich nutze seit 3 Tagen Vista und war auf der Suche nach einem Virenscanner.

Ein kleiner Tipp dazu für die Zukunft: Wenn man vor hat, mit einem neuen System erstmals online zu gehen, sollte man es bereits vorher internettauglich gemacht haben.

Was ich damit meine ist Folgendes: Stell Dir vor, Du hast Dir ein neues Segelboot gekauft. Du startest damit aber gleich die erste lange Fahrt auf See, ohne jedoch zuvor Proviant aufgefüllt zu haben, ohne Dich mit der evtl. ungewohnten Bedienung auseinandergesetzt zu haben, ohne Dich über die notwendigen Sicherheitsvorkehrungen sowie das zu erwartende Wetter informiert zu haben. Meinst Du, das wären gute Voraussetzungen? Ich meine nein.

Und genauso ist es mit Deinem neuen PC bzw. Betriebssystem - auch hier gilt wie dort: Bevor man in See sticht, sind die notwendigen Vorbereitungen zu treffen. Bevor man mit dem Surfen im Netz beginnt, ist das System entsprechend zu konfigurieren.

Zitat:

Irgendwann hab ich mir wohl was eingefangen denn plötzlich tun sich INet Explorer Fenster mit werbung auf und in der Nacht tönt dumpfer Sound aus meinen Boxen. [...]

Ja, die Infektion ist wie gesagt unübersehbar. Für mich ist nur noch nicht ganz klar, wo in diesem Fall die Lücke zu finden ist - entweder hast Du etwas von Hand installiert, oder Du hast eine unseriöse ActiveX-Meldung mit "Ja" bestätigt (was auf das gleiche hinauskommt), oder es befindet sich eine nicht geschlossene Sicherheitslücke in einer Deiner Anwendungen.

Zitat:

OS: Vista Ultimate ( Interne Firewall eingeschaltet)

Auch ein - zweifelsohne in der Sicherheit verbessertes - Windows Vista ist anfällig, auch dann, wenn eine "Firewall" aktiviert oder zusätzlich installiert wurde. Auch für Vista gelten die gleichen Regeln wie im Prinzip für Windows XP und andere Betriebssysteme:

Homepage von Malte J. Wetz

Code: Alles auswählenAufklappen

ATTFilter

C:\Program Files\Internet Explorer\iexplore.exe
         

Auch auf dem sicherheitstechnisch verbessersten Vista, und das betrifft ebenfalls den Internet Explorer darauf, würde ich nach wie vor beispielsweise einen Firefox mit "NoScript" vorziehen - schlichtweg, um auf diesem Wege die Angriffsfläche zu reduzieren.

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
         

Für die zukünftige Prüvention: Java sollte, wie andere Plugins auch, stets aktuell gehalten werden - eine neue Version ist inzwischen verfügbar.

Das gleiche gilt im Prinzip auch für Player wie Winamp. Helfend zur Seite stehen kann Dir dabei ein Dienst wie der Secunia Software Inspector; Infos zur Vorgehensweise findest Du z.B. dort.

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [avp] C:\Windows\avp.exe
O20 - Winlogon Notify: jkhhg - C:\Windows\system32\jkhhg.dll (file missing)
O20 - Winlogon Notify: urqpool - C:\Windows\SYSTEM32\urqpool.dll
O20 - Winlogon Notify: winqlr32 - C:\Windows\SYSTEM32\winqlr32.dll
         

Prüf bitte nacheinander die vier in Fettschrift gekennzeichneten Dateien bei Virustotal und poste nach Scanende die kompletten Ergebnislisten.