Hallo,

ein problem beschäftigt mich seit einiger zeit. mein computer braucht seit längerem immer mal wieder 100% cpu leistung, dies aber ohne einen hungrigen prozess anzuzeigen. nach einiger zeit stürzt er ab.

gestern abend sind mir die passwörter und zugänge von zwei domains aus einer ftp software abhanden gekokmmen. diese geben zugang auf einen server. komischerweise sind weitere passwörter/ zugänge von anderen servern noch vorhanden. bei eben diesem server war vor kurzem schon der administrationszugang verändert worden. mir kommt die sache wie ein gezielter angriff vor, vor allem weil ich gestern nur mit einem zugang arbeitete. kann jemand helfen?

danke im voraus!!!



Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zitat:

O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll

Also dass muss soweit ich weiß nicht sein

Zitat:

C:\WINDOWS\system32\PsaSrv.exe (file missing)

Das sollte mal überprüft werden...

Was mir mehr Sorgen macht ist dieser eintrag:

Zitat:

C:\WINDOWS\AGRSMMSG.exe

Schon der 2 an einem Tag mit Problemen und dieser Datei...
Sie gehört übrigens zu AMR-Modem Driver Control...Hast du ein AMR-Modem??

Die PsaSrv.exe & AGRSMMSG.exe sind Treiber, die Winsock Einträge sind völlig unbedenklich.
Zudem hast Du einige mir unbekannte Programme am laufen. Daher würde ich bei der Schilderung Deines Problems zu einem e-scan nach folgender Anleitung raten:
http://www.trojaner-board.de/38066-e...ightymarc.html
Poste das Ergebnis dieses scans mit der sg. "find-bat" (In der Anleitung enthalten)

Mobius, du willst mir als treuen Fritzchen-Benutzer sagen, dass das unbedenklich ist

Zitat:

Zitat von inFiniTY

Mobius, du willst mir als treuen Fritzchen-Benutzer sagen, dass das unbedenklich ist

Rischtisch! - mit `ner Priese Zucker ober drauf!

hmm...kommt davon wenn man net lesen kann und übersieht dass man auch selber ne sarah.dll im Ordner hat

OT:

Zitat:

Zitat von inFiniTY

Mobius, du willst mir als treuen Fritzchen-Benutzer sagen, dass das unbedenklich ist

Nicht nur Moebius will das, verrate doch mal was Du gegen die Datei hast.

@To: Poste ein neues HJT Log oder wie gefordert eine eScan Log.

Bata

Hallo nochmal,

danke für die schnelle Hilfe, sorry für den Fehler. Habe nun eScan ausgeführt und den Bericht ausgelesen:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\...\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde
durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde
durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde
durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde
durchgeführt: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)!
Action taken: Keine Aktion vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)!
Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\...\Desktop\mwav.exe infiziert von
"Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\...\Desktop\mwav.exe infiziert von
"Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\...\Desktop\mwav.exe infiziert von
"Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\...\Desktop\mwav.exe infiziert von
"Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume
Information\_restore{3CE9216A-2855-42D4-8262-F80F0EAE433D}\RP215\A0169547.exe infiziert
von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Programme\CAO-Faktura\support\cao_support.exe//UPX//vnchooks.dll markiert als
not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\gdiplus.dll
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3210
4158-7e49-11db-8b55-000ae440570c} !!!
Offending Key found:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6315
16c2-3ce7-11db-acfe-806d6172696f} !!!
Offending Key found:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3210
4158-7e49-11db-8b55-000ae440570c} !!!
Offending Key found:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{6315
16c2-3ce7-11db-acfe-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\eMule.de 0.46c v17\Temp\005.part nicht gescannt. Wahrscheinlich durch
Passwort geschützt...
C:\Programme\eMule.de 0.46c v17\Temp\008.part nicht gescannt. Wahrscheinlich durch
Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 100027
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 234
Dauer des Scans bisher: 01:27:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung der Festplatten: Aktiviert
Überprüfung aller Festplatten : Deaktiviert
Überprüfung aller Festplatten : Deaktiviert

Batchstart: 0:41:57,67
Batchende: 0:42:13,05



_______________----

p.s.: habe alle festplatten & alle dateien gescannt, überprüfung der systembereiche ließ sich nicht auswählen.

gute nacht...

Deaktiviere die Systemwiederherstellung wie hier beschrieben, dann führe einen neuen eScan im abgesicherten Modus aus.
Poste dieses Log hier.

Bata