habe mir nezbumper mal gesaugt lese aber es gibt nur probleme damit und es entfernt sehe aber nicht durch bei der hijackthis auswertung kann mir da vielleicht jemand helfen danke im voraus




Scan saved at 16:03:25, on 18.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Logitech\G-series Software\LGDCore.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Downloads\fertig\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/german
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Downloads\BitComet\tools\BitCometBHO_1.1.6.14.dll
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\system32\msjava32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &D&ownload &with BitComet - res://E:\Downloads\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://E:\Downloads\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://E:\Downloads\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Spiele\poker\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Spiele\poker\PartyPoker\RunApp.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{33CE1D5E-1A8A-4568-84A1-877289974196}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1ED0B2-D02B-42A6-AF26-4F591BFECE98}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\..\{712B8226-B649-4835-B922-885ADA9C0B9B}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS2\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS3\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS4\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS5\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O17 - HKLM\System\CS6\Services\Tcpip\..\{13690ECA-49DB-4279-9E12-77B3F396E946}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O22 - SharedTaskScheduler: haematobia - {3c767c6b-602d-4b9b-829d-a3dc5b2d89dd} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

--
End of file - 8828 bytes

Hallo

um es vorweg zu nehmen, es sieht nicht sehr gut aus

Zitat:

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

hast du den Zugriff auf die Registry verweigert?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{712B8226-B649-4835-B922-885ADA9C0B9B}: NameServer = 85.255.116.36,85.255.112.75
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75

dein Internetverkehr wird über die Ukraine umgeleitet

Zitat:

C:\WINDOWS\system32\msjava32.dll

und zu dieser Datei gibt es nix greifbares nur, dass es sich um Malware handelt.
Lass die Datei bitte hier Virustotal
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Du solltest dich auch schon mal mit dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung! vertraut machen, aber werte bitte zuerst die Datei aus, danke.

MFG

Und was ist mit den ganzen Fuzy Algorithmen? Die Logfile Auswertung sagt die sind schädlich.

Hallo

Fuzy wertet Logfiles aus, wer ist das ?

MFG

Aber warum sagt dann die Lofileauswertung dass es schädlich ist?

Hallo

Zitat:

Aber warum sagt dann die Lofileauswertung dass es schädlich ist?

Das was Schädlich ist?
Welchen Eintrag meinst du, da sind einige die da nicht reingehören
Auf die automatische Auswertung würde ich mich nicht unbedingt verlassen, als Unterstützung ist sie manchmal ganz hilfreich...kann aber genauso gut für Verwirrung sorgen .

MFG

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75

Art


Fuzzy Algorithmusprüfung (1.55 / 5.00), Schädlich

meine ich. Da sind auch Einträge wo das CS1 ein CS2 ist und dann ein CS3 aber sonst ist nichts anders.

Hallo

diese Einträge

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.36 85.255.112.75

führen hierher

Zitat:

inetnum: 85.255.112.0 - 85.255.127.255
netname: inhoster
descr: Inhoster hosting company
descr: OOO Inhoster, Poltavskij Shliax 24, Kharkiv, 61000, Ukraine

das ist die Umleitung über die Ukraine wie oben schon genannt.
(@Black PSP wenn du noch ne Frage hast, dann mach das mal bitte per PN sonst spammen wir hier den ganzen Beitrag zu...)

MFG

Ikarus T3.1.1.8 2007.07.18 Trojan-Downloader.Win32.Banload.kl
Panda 9.0.0.4 2007.07.18 Suspicious file
Sunbelt 2.2.907.0 2007.07.18 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 2007.07.18 Worm.Win32.Malware.gen (suspicious)

MD5: 8d8f9eb122f3dcb319943ab7d447e998
SHA1: 18eec60ebfb129b3763ba852212d74e8137519ef

Hallo

hast du evtl. auch das gesamte Ergebnis da vom Onlinescan?

MFG

Print results Print
Your file has expired or do not exists.
Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.
Email:

Antivirus Version Last Update Result
AhnLab-V3 2007.7.18.0 2007.07.18 no virus found
AntiVir 7.4.0.44 2007.07.18 no virus found
Authentium 4.93.8 2007.07.18 no virus found
Avast 4.7.997.0 2007.07.17 no virus found
AVG 7.5.0.476 2007.07.18 no virus found
BitDefender 7.2 2007.07.18 no virus found
CAT-QuickHeal 9.00 2007.07.18 no virus found
ClamAV devel-20070416 2007.07.18 no virus found
DrWeb 4.33 2007.07.18 no virus found
eSafe 7.0.15.0 2007.07.17 no virus found
eTrust-Vet 30.8.3791 2007.07.18 no virus found
Ewido 4.0 2007.07.18 no virus found
FileAdvisor 1 2007.07.18 no virus found
Fortinet 2.91.0.0 2007.07.18 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
F-Secure 6.70.13030.0 2007.07.18 no virus found
Ikarus T3.1.1.8 2007.07.18 Trojan-Downloader.Win32.Banload.kl
Kaspersky 4.0.2.24 2007.07.18 no virus found
McAfee 5077 2007.07.18 no virus found
Microsoft 1.2704 2007.07.18 no virus found
NOD32v2 2405 2007.07.18 no virus found
Norman 5.80.02 2007.07.18 no virus found
Panda 9.0.0.4 2007.07.18 Suspicious file
Sophos 4.19.0 2007.07.17 no virus found
Sunbelt 2.2.907.0 2007.07.18 VIPRE.Suspicious
Symantec 10 2007.07.18 no virus found
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.17 no virus found
VirusBuster 4.3.23:9 2007.07.18 no virus found
Webwasher-Gateway 6.0.1 2007.07.18 Worm.Win32.Malware.gen (suspicious)
Aditional information
File size: 108032 bytes
MD5: 8d8f9eb122f3dcb319943ab7d447e998
SHA1: 18eec60ebfb129b3763ba852212d74e8137519ef
packers: UPX
packers: UPX
packers: UPX
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Hi,

Fuzzy Algorithmusprüfung: Wenn die Onlineauswertung keine gesicherten Informationen zu einem Eintrag in der Datenbank hat, setzt sie eine Art Heuristik für Hijackthiseinträge ein. Dabei werden die mit den bekannten verglichen, um z.B. aus der Ähnlichkeit von Dateinamen eine Prognose auf die Schädlichkeit abzuleiten. Einträge, die aufgrund der Fuzzy Algorithmusprüfung bewertet wurden, sollte man ganz besonders sorgfältig manuell prüfen. Denn Heuristiken können öfter daneben liegen, hier tun sie das derzeit deutlich häufiger als die anderen Bewertungsmethoden.

Zu deinem Log:

O2 msjava32.dll : Castlecops

O7 : schädlich wenn nicht von dir eingetragen

O9 mit Partypoker : überflüssig, die Diskussion, ob das Malware ist, ist offen.

O16 : Überrest einer veralteten Javainstallation, auch deine neuere ist veraltet mit Sicherheitsmängeln.

O17 mit 85.255.x.x : DNS-Hijack

O22 : Castlecops

Gruß, Karl

Hallo

da die Datei kaum von Antivirenprogrammen erkannt wird, bitte ich dich diese Datei an einige Hersteller zur Analyse zu schicken.
Wie dies geht erfährst du hier --> http://www.trojaner-board.de/19273-v...einsenden.html
Nimm drei oder vier Hersteller z.B. AntiVir, BitDefender, Kaspersky und Symantec, danke dafür.

Leider ist es um dein System sehr schlecht bestellt, du hast eine Umleitung über die Ukraine auf deinem Rechner laufen d.h. es können evtl. deine Pass/Kennwörter ausgelesen worden sein, diese Umleitungen werden sehr häufig von Backdoortrojaner sowie Schädlingen mit Rootkittechniken begleitet.
Hinzu kommt die relativ unbekannte Datei, man kann keine genaue Aussage darüber treffen was diese anrichtet, deshalb mein Rat folge dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere unbedingt nach der Neuinstallation alle deine Pass/Kennwörter.

MFG

EDIT Moin Karl