wie bereits im thread-titel erwähnt, habe ich große probleme mit meiner internetverbindung. manche seiten lassen sich laden wie bisher, bei anderen geht gar nichts mehr. wenn ich zb. bei google etwas suche kommt diese warnung: Link.
wenn ich normal am computer arbeite merke ich eigentlich keinerlei leistungseinbußen, nur wenn ich im internet bin. ich kenne mich leider nicht sehr gut mit computern aus und da ein kumpel von mir (der mir dabei sonst hilft) für ein paar wochen weg ist, dachte ich mir das ihr da vielleicht helfen könntet.

ps: ich habe bereits spybot search & destroy/avira antivir laufen lassen und alles entfernt was mir da angezeigt wurde.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 15:10:54, on 12.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Clock Tray Skins\ClockTraySkins.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Neuer Ordner\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {DC41D21D-B3BD-43D5-BDA3-47C7465F57A4} - C:\WINDOWS\system32\vss_ps32.dll
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SystemTray] %windir%\system32\systray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SkinClock] C:\Programme\Clock Tray Skins\ClockTraySkins.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O14 - IERESET.INF: START_PAGE_URL=about:blank
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC4E594F-100A-4FBE-9E49-F13E1DD0330F}: NameServer = 217.237.149.142 217.237.150.205
O20 - Winlogon Notify: WBSrv - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbsrv.dll
O20 - Winlogon Notify: WgaLogon - WgaLogon.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
         

Hi und Herzlich Willkommen im Trajaner-Board

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\vss_ps32.dll

9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

sorry hat leider ein bisschen gedauert. ich hoffe mal das jetzt alles richtig war, vielen dank schon mal bis hierhin.


Virustotal

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 17/31 (54.84%)

Antivirus  	                        Version  	               letzte aktualisierung  	            Ergebnis
AhnLab-V3	                    2007.11.12.0	                    2007.11.12	                               -
AntiVir	                                     7.6.0.34	                    2007.11.12	                  ADSPY/Stud.A.43
Authentium	                         4.93.8	                    2007.11.10	                               -
Avast	                                    4.7.1074.0	                    2007.11.11	                  Win32:Trojano-3384
AVG	                                     7.5.0.503	                    2007.11.12	                Adware Generic2.AMI
BitDefender	                            7.2	                    2007.11.12	                      Adware.Stud.Y
CAT-QuickHeal	                           9.00	                    2007.11.12	             AdWare.Stud.a (Not a Virus)
ClamAV	                                       0.91.2	                    2007.11.12	                      Trojan.BHO-83 
DrWeb	                                  4.44.0.09170	                    2007.11.12	                                 -
eSafe	                                      7.0.15.0	                    2007.11.08                                       -
eTrust-Vet	                       31.2.5289	                    2007.11.12	                                 -
Ewido	                                          4.0	                    2007.11.12                              Adware.Stud
FileAdvisor	                              1	                    2007.11.12	                                 -
Fortinet	                                      3.11.0.0                  	      2007.10.19	                                 -
F-Prot	                                      4.4.2.54	                    2007.11.10	                    W32/Adware.KBB
F-Secure                        	      6.70.13030.0	                    2007.11.12	                                 -
Ikarus	                                     T3.1.1.12	                    2007.11.12	        not-a-virus:AdWare.Win32.Stud.d
Kaspersky	                       7.0.0.125	                    2007.11.12	        not-a-virus:AdWare.Win32.Stud.a
McAfee	                                         5160	                    2007.11.09	                                 -
Microsoft	                                        1.3007	                    2007.11.12	                Trojan:Win32/Webprefix
NOD32v2	                                         2653	                    2007.11.12	        a variant of Win32/Adware.BHO.AA
Norman	                                      5.80.02	                    2007.11.09	                           W32/Stud.AE
Panda	                                       9.0.0.4	                    2007.11.11	                                  -
Prevx1	                                           V2	                    2007.11.12	                                  -
Rising	                                    20.18.02.00	                    2007.11.12	                                  -
Sophos	                                        4.23.0	                    2007.11.12	                            MapKon
Sunbelt	                                       2.2.907.0	                    2007.11.12	                                  -
TheHacker	                        6.2.9.124	                    2007.11.12	                         Adware/Stud.a
VBA32	                                        3.12.2.4	                    2007.11.11	     suspected of Trojan-Downloader.Agent.47
VirusBuster	                        4.3.26:9	                    2007.11.12	                                 -
Webwasher-Gateway	               6.0.1	                    2007.11.12	                    Ad-Spyware.Stud.A.43

weitere Informationen
File size: 36098 bytes
MD5: 0a4fe11309815ea4945486c8e25c7393
SHA1: c4ad76bcc5c2856749f038eac1c3306154d61ea8
packers: UPX
packers: UPX
packers: UPX
packers: UPX
         

Escan

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "target saver Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 System found infected with toolbar888 Browser Hijacker (activate.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with conducent flexpak Spyware/Adware (empty.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with ezula Spyware/Adware (instsrv.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with rohbot Worm (C:\WINDOWS\system32\pskill.exe)! Action taken: Keine Aktion vorgenommen. 
 System found infected with rohbot Worm (C:\WINDOWS\system32\pslist.exe)! Action taken: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
 File C:\WINDOWS\system32\vss_ps32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\psexec.exe markiert als "not-a-virus:RiskTool.Win32.PsExec.153". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 File C:\WINDOWS\system32\vss_ps32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
 Offending file found: C:\WINDOWS\system32\activate.exe 
 Offending file found: C:\WINDOWS\system32\empty.exe 
 Offending file found: C:\WINDOWS\system32\instsrv.exe 
 Offending file found: C:\WINDOWS\system32\pskill.exe 
 Offending file found: C:\WINDOWS\system32\pslist.exe 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\alienautopsy 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\cain 
 Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\extensis\suitcase\suitcase font database.suitcasevault\primary\truetype\unknown\tsa 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKLM\Software\magnet !!! 
 Offending Key found: HKCR\magnet !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = WgaLogon.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon). Deleting Registry Key WgaLogon... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
 C:\WINDOWS\system32\wins.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt... 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.com
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Deaktiviert 
 Überprüfung aller Festplatten :Aktiviert 
 
Batchstart: 19:30:12,67 
Batchende: 19:30:16,17
         

grad wollte ich was bei rapidshare runterladen und da kam die anzeige (Du hast das Downloadlimit für die kostenlose Nutzung erreicht.) obwohl ich da schon seit wochen nix mehr geladen hab .

Wow,

Du hast nicht nur Adware sitzen sondern auch diesen
hier -> W32/Rohbot-A

Das bedeutet für dich:
* System neu aufsetzen mit anschließender Absicherung

Ändere anschließend deine Logindaten im Online/Offline-Bereich,
sonst könntest du bald Probleme bekommen.

mfg Cleriker

Zitat:

Zitat von Cleriker

Du hast nicht nur Adware sitzen sondern auch diesen
hier -> W32/Rohbot-A

Sicher? Auch wenn der Speicherort ungewöhnlich ist, auf die Spyware-Meldungen von escan sind kein Verlass. Vgl. dazu die "tagged files"-Einträge, wo pslist/pskill lediglich als riskware eingestuft werden. Bevor also das Neuaufsetzen in Angriff genommen wird, schlage ich eine Gegenprobe der Dateien bei virustotal vor.

@raven76: Hast du mit sysinternals-tools gearbeitet oder ne Ahnung, wie die Dateien in den system32-Ordner kommen? Schräg ist das ganze schon.

Grüße

Zitat:

Vgl. dazu die "tagged files"-Einträge, wo pslist/pskill lediglich als riskware eingestuft werden.

Du magst Recht haben @ ordell. Aber die weniger gefährlichen
Anzeichen des möglichen Schädlings sind sichtbar.

Zitat:

<Windows system folder>\pskill.exe - a potentially unwanted application, detected as PsKill
<Windows system folder>\pslist.exe - a clean utility to list process information

Eine Gegenprobe wäre auf jeden Fall angebracht
* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\pslist.exe

9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

Danke Ordell für den Zwischenwurf, die Möglichkeit
habe ich gar nicht in Betracht gezogen.

mfg Cleriker

Googlen hat ergeben, dass der Speicherort für pstools in c:\windows\system32 keinesfalls ungewöhnlich ist, sogar der Meister selbst speichert dort:


Mark's Blog

Vorteil: Die tools sind pfadunabhängig über die Kommadozeile zu erreichen, ist also äußerst praktikabel, gerade für die Fernwartung. Mit den tools läßt sich aber auch ne Menge Budenzauber auf der Kiste veranstalten, weshalb es gut wäre, wenn raven76 die Dateien zuordnen kann. Grüße

@ ordell1234
ich habe dafür viel zu wenig ahnung, um mit solchen sachen zu arbeiten. keine ahnung wie das darein gekommen ist .

pskill.exe

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 11/32 (34.38%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2007.11.13.1	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	-
Authentium	4.93.8	2007.11.13	-
Avast	4.7.1074.0	2007.11.12	-
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	-
CAT-QuickHeal	9.00	2007.11.12	-
ClamAV	0.91.2	2007.11.13	PUA.Tool.PsKill-1
DrWeb	4.44.0.09170	2007.11.13	-
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5291	2007.11.13	-
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	High threat detected
Fortinet	3.11.0.0	2007.10.19	HackerTool/PSKill
F-Prot	4.4.2.54	2007.11.13	W32/HackTool.CNO
F-Secure	6.70.13030.0	2007.11.13	-
Ikarus	T3.1.1.12	2007.11.13	not-a-virus:RiskTool.Win32.PsKill.e
Kaspersky	7.0.0.125	2007.11.13	not-a-virus:RiskTool.Win32.PsKill.e
McAfee	5161	2007.11.12	potentially unwanted program RemAdm-PSKill
Microsoft	1.3007	2007.11.12	-
NOD32v2	2655	2007.11.13	-
Norman	5.80.02	2007.11.13	-
Panda	9.0.0.4	2007.11.13	Application/Pskill.E
Prevx1	V2	2007.11.13	-
Rising	20.18.11.00	2007.11.13	-
Sophos	4.23.0	2007.11.13	PsKill
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	-
TheHacker	6.2.9.124	2007.11.13	Aplicacion/RemoteAdmin.Pskill
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.12	-
Webwasher-Gateway	6.0.1	2007.11.13	Riskware.PsKill.E
weitere Informationen
File size: 94208 bytes
MD5: 2e8a63a935822684bc3538a61749d9d2
SHA1: f76afcfba1f52fb8eb3e9c217d4a073117ee110a
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=2e8a63a935822684bc3538a61749d9d2
         

pslist.exe

Code: Alles auswählenAufklappen

ATTFilter

Ergebnis: 0/32 (0%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2007.11.13.1	2007.11.13	-
AntiVir	7.6.0.34	2007.11.13	-
Authentium	4.93.8	2007.11.13	-
Avast	4.7.1074.0	2007.11.12	-
AVG	7.5.0.503	2007.11.12	-
BitDefender	7.2	2007.11.13	-
CAT-QuickHeal	9.00	2007.11.12	-
ClamAV	0.91.2	2007.11.13	-
DrWeb	4.44.0.09170	2007.11.13	-
eSafe	7.0.15.0	2007.11.08	-
eTrust-Vet	31.2.5291	2007.11.13	-
Ewido	4.0	2007.11.12	-
FileAdvisor	1	2007.11.13	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.4.2.54	2007.11.13	-
F-Secure	6.70.13030.0	2007.11.13	-
Ikarus	T3.1.1.12	2007.11.13	-
Kaspersky	7.0.0.125	2007.11.13	-
McAfee	5161	2007.11.12	-
Microsoft	1.3007	2007.11.12	-
NOD32v2	2655	2007.11.13	-
Norman	5.80.02	2007.11.13	-
Panda	9.0.0.4	2007.11.13	-
Prevx1	V2	2007.11.13	-
Rising	20.18.11.00	2007.11.13	-
Sophos	4.23.0	2007.11.13	-
Sunbelt	2.2.907.0	2007.11.13	-
Symantec	10	2007.11.13	-
TheHacker	6.2.9.124	2007.11.13	-
VBA32	3.12.2.4	2007.11.11	-
VirusBuster	4.3.26:9	2007.11.12	-
Webwasher-Gateway	6.0.1	2007.11.13	-
weitere Informationen
File size: 86016 bytes
MD5: 1fd684490fc5994c1f6615f70f9fb1f8
SHA1: b0746af5a6d56417894bd300008138d9f122e0ab
         

na toll,

es sind die vermuteten Dateien, aber
schlauer bin ich dadurch nicht. Diese
können manuell sowohl auch vom rohbot
angelegt worden sein. Ich würde
eine Filelist vorschlagen. Vielleicht kann
man ersehen, wie sie erstellt wurden:

* Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

F-Secure - Rootkitscanner
- lade dir hier f-secure herunter
- speichere es auf dem Desktop und führe fsbl.exe
- akzeptiere die Vereinbarung und klicke anschließend auf "Scan"
- poste den Inhalt der "fsbl-xxx.txt" in deinen Beitrag
(wird im selben Ordner erstellt)

Wenn die Ergebnisse negativ sind, plädiere ich auf eine
Bereinigung der Adware. Falls sich die Vermutung jedoch
bestätigt, heißt es Neuaufsetzen.

mfg Cleriker

Hm, die HASH-Werte stimmen, allerdings für die ältere Version pskill v1.04, aktuell ist seit Dez. 2006 pskill v1.12. Dementsprechend wird das Erstelldatum auf noch früher datieren, unabhängig vom Zeitpunkt des Kopierens auf die Platte. Filelist wird vermutlich nix finden.

Dummerweise nutzt rohbot anscheinend genau diese tools, weshalb ihre weitere Untersuchung wohl nicht viel weiter führt. Ironischerweise sind sie am Ende noch von sysinternals signiert.

@raven76: Da du nicht weißt, wie die Dateien auf dein System kommen (auch keine resource kit-tools, Powertoys von M$ oder Ähnliches benutzt? ) bleibt ein hohes Restrisiko im Fall einer Bereinigung. Sicherer wäre auf jeden Fall das Neuaufsetzen, wie schon von cleriker angedacht (und ich würde nicht zögern bei risktools, deren Herkunft ich nicht kenne), letztlich bleibt es aber deine Entscheidung.

Grüße

edit: Liste mal deine Autostarteinträge auf:

1. Lade dir Autoruns. Entpacke autorunsc.exe nach c:\.
2. Kopiere folgenden Text und speichere ihn als autoruns.bat ab.

Code: Alles auswählenAufklappen

ATTFilter

echo off
cd %systemdrive%
cd\
reg add HKCU\Software\Sysinternals\autoruns /f /v EulaAccepted /t REG_DWORD /d 1
autorunsc -acmv >> %temp%\autoruns.log
findstr /v (Verified) %temp%\autoruns.log >> %temp%\autoruns.txt
notepad %temp%\autoruns.txt
exit
         

3. Führe autoruns.bat aus und poste das log autoruns.txt

Anmerkung: Autoruns baut zur Signaturprüfung eine Verbindung ins Netz auf. Gib diese ggf. bei deiner Firewall frei.

vielen dank schonmal an euch, ich werde dann wohl den rechner Neuaufsetzen müssen. bleibt dann eigentlich trotzdem noch eine möglichkeit, das etwas von diesen "viren" überlebt oder die immer noch an meine internetverbindung heran können?

autoruns

Code: Alles auswählenAufklappen

ATTFilter

Entry Location,Entry,Enabled,Description,Publisher,Image Path
HKLM\System\CurrentControlSet\Services,AntiVirScheduler,enabled,"Dienst zur Steuerung von AntiVir Prüfaufträgen und Updates.","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\sched.exe"
HKLM\System\CurrentControlSet\Services,AntiVirService,enabled,"Bietet permanenten Schutz vor Viren und Malware mit der AntiVir Suchengine.","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\avguard.exe"
HKLM\System\CurrentControlSet\Services,Apple Mobile Device,enabled,"Stellt Schnittstellen zu Apple Mobile Devices bereit.","(Not verified) Apple, Inc.","c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe"
HKLM\System\CurrentControlSet\Services,RichVideo,enabled,"RichVideo Module",,"c:\programme\cyberlink\shared files\richvideo.exe"
HKLM\System\CurrentControlSet\Services,ASPI,enabled,"ASPI for WIN32 Kernel Driver","(Not verified) Adaptec","c:\windows\system32\drivers\aspi32.sys"
HKLM\System\CurrentControlSet\Services,Changer,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\Changer.sys"
HKLM\System\CurrentControlSet\Services,ENTECH,enabled,"","(Not verified) EnTech Taiwan","c:\windows\system32\drivers\entech.sys"
HKLM\System\CurrentControlSet\Services,i2omgmt,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\i2omgmt.sys"
HKLM\System\CurrentControlSet\Services,IntcAzAudAddService,enabled,"Realtek(r) High Definition Audio Function Driver","(Not verified) Realtek Semiconductor Corp.","c:\windows\system32\drivers\rtkhdaud.sys"
HKLM\System\CurrentControlSet\Services,lbrtfdc,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\lbrtfdc.sys"
HKLM\System\CurrentControlSet\Services,PCIDump,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PCIDump.sys"
HKLM\System\CurrentControlSet\Services,PDCOMP,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDCOMP.sys"
HKLM\System\CurrentControlSet\Services,PDFRAME,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDFRAME.sys"
HKLM\System\CurrentControlSet\Services,PDRELI,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDRELI.sys"
HKLM\System\CurrentControlSet\Services,PDRFRAME,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\PDRFRAME.sys"
HKLM\System\CurrentControlSet\Services,Secdrv,enabled,"SafeDisc driver","(Not verified) Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.","c:\windows\system32\drivers\secdrv.sys"
HKLM\System\CurrentControlSet\Services,sptd,enabled,"",,"c:\windows\system32\drivers\sptd.sys"
HKLM\System\CurrentControlSet\Services,WDICA,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\WDICA.sys"
HKLM\System\CurrentControlSet\Services,{4romat,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\{4romat.sys"
HKLM\System\CurrentControlSet\Services,ac7xue5v,enabled,"",,"File not found: C:\WINDOWS\System32\Drivers\ac7xue5v.sys"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify,WBSrv,enabled,"WBSrv.dll","(Not verified) Stardock","c:\programme\stardock\object desktop\windowblinds\wbsrv.dll"
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors,EPSON V6 2KMonitor,enabled,"EPSON Bi-directional Monitor","(Not verified) SEIKO EPSON CORPORATION","c:\windows\system32\ebpmon24.dll"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls,wbsys.dll,enabled,"WindowBlinds","(Not verified) Stardock.Net, Inc","c:\windows\system32\wbsys.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,type32,enabled,"Type32.exe","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\type32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,IntelliPoint,enabled,"Point32.exe","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\point32.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,nwiz,enabled,"NVIDIA nView Wizard, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nwiz.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,RTHDCPL,enabled,"Realtek HD Audio Control Panel","(Not verified) Realtek Semiconductor Corp.","c:\windows\rthdcpl.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,JMB36X IDE Setup,enabled,"",,"c:\windows\raidtool\xinside.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,36X Raid Configurer,enabled,"JMicron JMB36X RAID Configurer","(Not verified) JMicron Technology Corp.","c:\windows\system32\xraidsetup.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,QuickTime Task,enabled,"QuickTime Task","(Not verified) Apple Inc.","c:\programme\quicktime\qttask.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,WinampAgent,enabled,"",,"c:\programme\winamp\winampa.exe"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/octet-stream,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/x-complus,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Filter,application/x-msdownload,enabled,"Microsoft .NET Runtime Execution Engine","(Not verified) Microsoft Corporation","c:\windows\system32\mscoree.dll"
HKLM\SOFTWARE\Classes\Protocols\Handler,ms-itss,enabled,"Microsoft® InfoTech Storage System Library","(Not verified) Microsoft Corporation","c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll"
HKCU\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components,0,enabled,"",,"File not found: About:Home"
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components,n/a,enabled,"Microsoft .NET IE SECURITY REGISTRATION","(Not verified) Microsoft Corporation","c:\windows\system32\mscories.dll"
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart,Adobe Gamma.lnk,enabled,"Adobe Gamma Loader","(Not verified) Adobe Systems, Inc.","c:\programme\gemeinsame dateien\adobe\calibration\adobe gamma loader.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Run,SkinClock,enabled,"",,"c:\programme\clock tray skins\clocktrayskins.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects,{DC41D21D-B3BD-43D5-BDA3-47C7465F57A4},enabled,"",,"c:\windows\system32\vss_ps32.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,CPL-Erweiterung für Anzeigeverschiebung,enabled,"",,"File not found: deskpan.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,WinRAR shell extension,enabled,"",,"c:\programme\winrar\rarext.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Zooming Control Panel Property Page,enabled,"itcplzm.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplzm.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Scrolling Control Panel Property Page,enabled,"itcplwhl","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplwhl.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Key Settings Control Panel Property Page,enabled,"itcplkey.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplkey.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliType Pro Wireless Control Panel Property Page,enabled,"itcplwir","(Not verified) Microsoft Corporation","c:\programme\microsoft intellitype pro\itcplwir.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Wireless Control Panel Property Page,enabled,"ipcplwir.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplwir.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Wheel Control Panel Property Page,enabled,"ipcplwhl.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplwhl.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Activities Control Panel Property Page,enabled,"ipcplact.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplact.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,IntelliPoint Buttons Control Panel Property Page,enabled,"ipcplbtn.dll","(Not verified) Microsoft Corporation","c:\programme\microsoft intellipoint\ipcplbtn.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Desktop Explorer,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Desktop Explorer Menu,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,nView Desktop Context Menu,enabled,"NVIDIA Desktop Explorer, Version 110.78 ","(Not verified) NVIDIA Corporation","c:\windows\system32\nvshell.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Shell Extension for Malware scanning,enabled,"ShlExt.dll","(Not verified) Avira GmbH","c:\programme\avira\antivir personaledition classic\shlext.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,WindowBlinds CPL Extension,enabled,"WindowBlinds 5.0 UI","(Not verified) Stardock.Net, Inc","c:\programme\stardock\object desktop\windowblinds\wbui.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,ShellLink for Application References,enabled,"Application Deployment Support Library","(Not verified) Microsoft Corporation","c:\windows\system32\dfshim.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Shell Icon Handler for Application References,enabled,"Application Deployment Support Library","(Not verified) Microsoft Corporation","c:\windows\system32\dfshim.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,PhoneBrowser,enabled,"Phone Browser","(Not verified) Nokia","c:\programme\nokia\nokia pc suite 6\phonebrowser.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,Message View,enabled,"Phone Browser Message View","(Not verified) Nokia","c:\programme\nokia\nokia pc suite 6\messageview.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,7-Zip Shell Extension,enabled,"",,"c:\programme\7-zip\7-zip.dll"
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved,GF Shell Extension,enabled,"lt_lib_gf_iconShellEx Module","(Not verified) onOne Software","c:\programme\gemeinsame dateien\onone software shared\lt_lib_gf_iconshellex.dll"
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers,PDF Shell Extension,enabled,"PDF Shell Extension","(Not verified) Adobe Systems, Inc.","c:\programme\gemeinsame dateien\adobe\acrobat\activex\pdfshell.dll"
         

ich wollte grad nochmal diese sache mit rapidshare überprüfen und jetzt stand da: (Deine IP-Adresse ***.***.**.** lädt bereits eine Datei runter. Du musst warten, bis der Download fertig ist.) .

das hört sich alles sehr nach einem dritten an.
Ich würde doch sagen, trenne deinen Rechner
vom Netz und setze (meine Empfehlung)
nach folgendem Prinzip neu auf:
1. System neu aufsetzen mit anschließender Absicherung
2. Service Pack 2 updaten / installieren
3. XP-Updates updaten / installieren
4. Firewall von Windows XP SP2 aktivieren
(Start > Einstellungen > Systemsteuerung > Sicherheitscenter > Firewall > aktivieren)
5. Avira Antivir Personal Edition downloaden
6. Sofort updaten oder die Updates selbst runterladen
* Update Antivir Paket 1
* Update Antivir Paket 2
> Avira Fenster öffnen > oben auf Update klicken > manuelles Update
> Pfad raussuchen, in der die Pakete gespeichert sind (können auch gepackt sein)
7. Java-Update durchführen
8. neueste Version von Motzilla Firefox runterladen und als Standartbrowser benutzen
9. Etwa alle 3 Monate den CCleaner ausführen

mfg Cleriker