totaler anfänger bittet um hilfe :-(

franco1206 · 02.01.2008, 12:49

ist jemand bitte so nett und geduldig und sagt mir, ob da was nicht stimmt? wenn ja, was soll ich tun (bitte nicht in computer-latein....)?
mein problem: in größeren abständen (normalerw. um/über 12 stunden) führt der pc unaufgefordert einen lästigen neustart durch.
beschreibung nach goldener regel 5: betriebssystem xp pro, fehlermeldung vor genannten neustart (nur sinngemäß, da mein syst. auf italienisch ist, sorry) = "das system wird angehalten durch NT AUTHORITY\SYSTEM. C:\\WINDOWS\system32\services.exe wird terminiert mit code -1073741819. system wird neugestartet."
pfadangaben bei schädlingsbefall kann ich nicht machen, da ich nicht weiß, wo und überhaupt ob ein schädling drin ist.
allerdings habe ich mal versehentlich auf einen per mail gekommenen "glückwunsch" mit namen happy-2008.exe (hat nur im background irgendwas installiert) und da scheint alles angefangen zu haben

ich habe norton aktiv, dazu sowohl mit spybot als auch mit ad-aware alles "geputzt", aber das problem ist noch da.
bitte bitte hilfe! danke!
franco

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:36:06, on 02.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\Dantz\Retrospect\retrorun.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\eMule\emule.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\CE Software\QuicKeys\QkEngine.exe
C:\Programmi\ClipMemAdvanced\clipmem.exe
C:\PROGRA~1\CESOFT~1\QuicKeys\QKAPPS~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Windows NT\Accessori\wordpad.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Startup: Clipmem Advanced.lnk = C:\Programmi\ClipMemAdvanced\clipmem.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: QuicKeys Engine.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {FA945BB6-9D37-43FC-9B2A-AF09F56CBBF0} - http://www.musicmatch.com/form/support/tech/diagnostics/cabs/DiagCollectionControl.cab
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programmi\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\Programmi\Dantz\Retrospect\rthlpsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programmi\SPYWAREfighter\spfprc.exe (file missing)
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10544 bytes

Tayk · 02.01.2008, 13:15

Möglicherweiße nur ein harmloses scherzprogramm! Da es nur einen neustart durchführt!
Hier einige links zum thema happy-2008.exe:
Info-Point-Security Infoboard - F-Secure: Warnung vor "Happy2008.exe" und "happy-2008.exe" ....GefÃ¤hrliche NeujahrsgrÃ¼ÃŸe per Mail - Sicherheit - Digital Home
CastleCops Deutsch StÃ¼rmische NeujahrswÃ¼nsche

Was das ist ist bisher noch unbekannt wie es scheint aber es kann sehr gefährlich sein!

Edit:
Möglicherweiße handelt es sich um einen Sturm Wurm, Trojan-Downloader.Win32.Small.dam wird vermutlich dadurch instaliert!

Und nochwas eine Goldene Regel hast du vergessen Googlen vor dem erstellen eines threats!

undoreal · 02.01.2008, 13:31

Halli hallo Franco.

Du wirst momentan ausspioniert. Trenne den Rechner also unverzüglich vom Netz!

Dann erstelle bitte eine Liste mit installierten Programmen auf deinem Rechner:

Sauge dir cCleaner und installliere es OHNE die Toolbar.

Eine Bereinigung kannst du ruhig gleich mal durchführen.

Dann findest du unter Extras den Punkt "Programme deinstallieren" und rechts unten dann den Button "als Textdatei speichern". Den Inhalt dieser Datei postest du bitte hier und schreibst hinter jedem Programmm dazu wozu du es benötigst. Sollten dir Programme unbekannt sein nutzte Google um mehr über sie zu erfahren. Wenn du schädliche Programme entdeckst (und das wirst du

) dann deinstalliere sie bitte noch nicht. Das machen wir zusammen..

Danach geht's weiter.

franco1206 · 02.01.2008, 15:41

hallo undoreal! danke für deine antwort! ich habe die textdatei mit den programmen gespeichert (siehe unten), doch die programme sind mir alle bekannt, ich glaube, da ist nichts schädliches dabei... täusche ich mich..?

Ad-Aware 2007
Adobe Acrobat 6.0 Professional - English, Français, Deutsch
Adobe Flash Player Plugin
Adobe Photoshop Elements
Aggiornamento per Windows XP (KB898461)
AnyDVD
Apple Software Update
ATI - Software Uninstall Utility
ATI Display Driver
AutoUpdate
BSPlayer
ccCommon
CCleaner (remove only)
CD-Druckerei 5
ClipMem Advanced
CloneCD
CloneDVD2
Codec Pack - All In 1 6.0.3.0
Directory Printer 3.71
DivX
DivX Converter
DivX Player
DivX Web Player
eMule
Exif Farm
Google Toolbar for Firefox
Google Toolbar for Internet Explorer
HijackThis 2.0.2
IKEA Home Planner
Internet Worm Protection
iTunes
Logitech Desktop Messenger
Logitech iTouch Software
Logitech MouseWare 9.41 .1
Microsoft Office 2000 Premium
Mozilla Firefox (1.5.0.12)
Musicmatch® Jukebox
Myst Uru - The Path of the Shell
Myst V End Of Ages
Norton AntiVirus 2005
Norton AntiVirus Help
Norton AntiVirus Parent MSI
Norton AntiVirus SCSSDist MSI
Norton AntiVirus SYMLT MSI
Norton WMI Update
QuicKeys
QuickTime
RealPlayer
Retrospect 6.5
SPBBC
Spybot - Search & Destroy
StarModem USB Network Adapter
Symantec
Symantec Network Drivers Update
Symantec Script Blocking Installer
SymNet
Total Video Converter 3.02
TreeSize Free V1.78
VirtualCloneDrive
WebFldrs XP
WinAVIVideoConverter
Windows Genuine Advantage Validation Tool (KB892130)
Yahoo! Toolbar
Yahoo! Toolbar con blocco Pop-Up
ZoneAlarm

undoreal · 02.01.2008, 17:51

Also franco. Die BackWeb Meinungen gehen sehr weit auseinander. Daher liegt die Entscheidung bei dir. Ich würde folgende Einträge fixen um ihn aus dem Autostart zu entfernen:

* C:\Programmi\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe *

* O4 - HKLM\..\Run: [LDM] C:\Programmi\Logitech\Desktop Messenger\8876480\Program\backWeb-8876480.exe *

Und folgenden Eintrag MUSST du fixen:

* O23 - Service: SPYWAREfighterRP - Unknown owner - C:\Programmi\SPYWAREfighter\spfprc.exe (file missing) *

Überprüfe bitte ob der Ordner " C:\Programmi\SPYWAREfighter\ " noch besteht.. wenn ja -> komplett löschen!

Nun kommen wir zu deinem Hauptproblem:

Suche bitte, wie in meiner Signatur beschrieben wird nach folgender Datei:

" winhdn32.dll ". Poste bitte wo du sie gefunden hast und lade sie auf [url=http://www.virustotal.com[/url] hoch. Poste das Ergebnis.

franco1206 · 02.01.2008, 22:10

oweh undoreal, klingt alles so perfekt fachmännisch, doch ich schwimme total... hast du noch lust, mir zu helfen? erste frage: heißt "fixen" eigentlich "löschen" (wie ich annehme)? wo finde ich dann die einträge 04, 023 und überhaupt? ich habe mit regedit in die registry geschaut, aber da finde ich nix ähnliches...
meinst du mit "signatur" die blauen links? und wo soll ich die ergebnisse "posten"? hier?
und (ich weiss, ich bin eine katastrophe): was heißt schließlich "lade sie auf [url=http://www.virustotal.com[/url] hoch)???? :-(((
wenn's dir zuviel wird - nichts für ungut, danke auf jeden fall!!!
franco

undoreal · 02.01.2008, 22:23

Garkein Problem franco! Dafür sind wir da.

Also, Nummer1: Fixen bedeutet in den allermeisten Fällen nicht, dass die Datei gelöscht wird sondern nur der entsprechende Registrierungs Eintrag durch den die Datei bei jedem Computer Start mitgestartet wird.

Wenn du die Hijackthis.exe in einem eigenen Ordner ausführst (das solltest du tun!) werden Backups erstellt und es geht dir nichts verloren! Du kannst alles über die Backup-Sektion im Programm wiederherstellen. Hijackthis sollte also zum Bleistift in einem Ordner laufen dessen Dateipfad etwas so aussehen könnte: C\Dokumente und Einstellungen\user\Eigenen Dateien\Desktop\Hijackthis\Hijackthis.exe
Das fett geschrieben ist in diesem Fall der Name des Ordners auf deinem Desktop.

Fixe tust du indem du einen scan machst, dann die ensprechenden Einträge im Programm (nicht im logfile) markierst und dann auf den Button "Fix checked" drückst. Cidres-security.de - Mit Sicherheit durchs Netz! - HiJackThis: Tutorial

Meine Signatur sind die blauen Links unter jedem meiner Postings.

Zitat:

was heißt schließlich "lade sie auf [url=http://www.virustotal.com[/url] hoch)????

das war natürlich mein Fehler! Sry. der Link ist nicht korrekt BB-getaggt.

Hier mal eine ausführliche Anleitung:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Lade nun die Datei hoch die du vorher rausgesucht hast , und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

PS: Huhu Cad. Und vielen Dank.

cad · 02.01.2008, 22:26

Zitat:

Zitat von franco1206

oweh undoreal, klingt alles so perfekt fachmännisch, doch ich schwimme total... hast du noch lust, mir zu helfen?

ich spring kurz für Undo ein, wenns recht ist

Zitat:

Zitat von franco1206

erste frage: heißt "fixen" eigentlich "löschen" ?

Richtig

Zitat:

Zitat von franco1206

wo finde ich dann die einträge 04, 023 und überhaupt?

Vergleiche bitte diese bebilderte Anleitung HijackThis Bildanleitung und Download

Zitat:

Zitat von franco1206

meinst du mit "signatur" die blauen links?

Auch richtig

Zitat:

Zitat von franco1206

und wo soll ich die ergebnisse "posten"? hier?

Genau, hier im Threat.

Zitat:

Zitat von franco1206

und (ich weiss, ich bin eine katastrophe):

Nö, bist Du nicht. Du kennst Dich nur noch nicht aus.

Zitat:

was heißt schließlich "lade sie auf [url=http://www.virustotal.com[/url] hoch)???? :-(((

Du sollst auf dieser Seite http://www.virustotal.com/de/
die Datei winhdn32.dll hochladen, auswerten lassen und dann das Ergebnis posten. Wo Du die dann gefunden hast, bitte auch angeben.

Gruß cad

Edit: Lol, bin zu langsam. Tach Undo

franco1206 · 03.01.2008, 15:21

hallo undoreal, cad und alle! ich mach mutig weiter, dank euch, eurer freundlichkeit und geduld.
hochlob!!!!
werde berichten.
ciao
franco

franco1206 · 03.01.2008, 15:26

habe alles fixiert, es hat geklappt, nur die datei winhdn32.dll ist nirgends zu finden (habe alle suchoptionen genauestens eingestellt wie von euch empfohlen). ist das möglich? habt ihr sie bei mir drin gesehen? habe ich sie vielleicht mit norton oder sonst bei meinen blinden versuchen mit spy-killern schon gelöscht?
grazzzzie wieder!

undoreal · 03.01.2008, 16:22

Zitat:

spy-killern

das hört sich nicht gut an ..

es gibt jede Menge False-Anti-Virus-Progs. Also Programme die dir erzählen sie würden dir helfen aber dann selber schädlich sind. Weiter unten poste ich mal eine Seite auf der du nachgucken kannst welche nicht in Ordnung sind. Wenn du dir nicht sciher bist dann immer hier nachfragen!
Der SPYWAREfighter gehört übrigens dazu

und den hattest du drauf..

Wenn alles geklappt hat ist das super. Das du die Datei nicht findest war sogar zu erwarten aber wenn man das vorher postet suchen die Leute nicht richtig.. ^^

Poste bitte nun ein frisches Hikackthis log.

Um Dein System vor zukünfigen Infektionen zu schützen, lies bitte das folgende aufmerksam.

Das folgende ist eine Sammlung von Tools und Hilfsmitteln. Diese helfen Dir zu verstehen, wie Du infiziert wurdest und wie Du Dich in Zunkunft davor schützen kannst.

Spybot Search & Destroy - Ein gutes Tool, welches bösartige Software sucht und unschädlich macht. Bei der Installation darauf achten den Tea Timer & SD Helper nicht zu aktivieren!

AdAware - Ein weiteres "Multi Tool" welches nach bösen Einträgen sucht und diese beseitigt. AdAware und Spybot Search & Destroy vertragen sich bisher noch sehr gut auf einem System.

Miranda-IM - Die ist ein Malware freier, Open Source Instant Messenger welcher mit den Protokollen von AOL, Yahoo, ICQ, IRC, MSN zusammenarbeitet.

CCleaner Download - ist eine Freeware-Software zur Optimierung und zum Aufräumen von Windows.

Hier findest Du eine Sammlung(Englisch) von falschen Antivirenprogrammen. Diese Liste ist nicht immer upToDate. Bei Unklarheiten im Forum vor einer Installation nachfragen.

Hier findest Du aktuelle Sicherheitsmeldungen.

Windows Update - Es ist sehr wichtig sicher zu sein das Internet Explorer und Windows mit allen aktuellen Patches von Microsoft versorgt sind. Um dies zu prüfen öffne den Internet Explorer, wähle Extras und dort Windows Update, und folge den Anweisungen.

Generell gilt: Halte immer alle Anwenung auf einem akutellem Stand!

franco1206 · 03.01.2008, 23:11

noch hat sich der rechner nicht neugestartet, mal sehen bis morgen früh...

hier ein frisches log und danke nochmals!

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

franco1206 · 06.01.2008, 11:51

komisch: jetzt habe ich mit spybot search&destroy die autostart-prozesse geschaut und sieh da! auf einmal taucht diese winhdn32.dll auf als winlogon. steht aber leider nicht dabei wo sie ist!! habe dann wieder auf der festplatte gesucht mit allen optionen - nicht zu finden!!! was bedeutet das? ich habe probiert, die winhdn32.dll zu deaktivieren (das könnte man ja in spybot), aber wenn ich das programm wieder einschalte ist die schon wieder aktiv. was soll ich bloß tun?
wiesollichmichbedanken
franco

undoreal · 06.01.2008, 12:51

Also als erstes könntest du mal ein frisches HijackThis log posten..

franco1206 · 06.01.2008, 14:02

gerne!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:58:10, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\Logitech\iTouch\iTouch.exe
C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programmi\iTunes\iTunesHelper.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe
C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programmi\CE Software\QuicKeys\QkEngine.exe
C:\Programmi\ClipMemAdvanced\clipmem.exe
C:\PROGRA~1\CESOFT~1\QuicKeys\QKAPPS~1.EXE
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programmi\iPod\bin\iPodService.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Programmi\Outlook Express\msimn.exe
C:\Programmi\Dantz\Retrospect\retrorun.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programmi\eMule\emule.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmi\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmi\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programmi\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programmi\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programmi\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] "C:\Programmi\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [mmtask] "C:\Programmi\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmi\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CnxTrApp] rundll32.exe "C:\Programmi\StarModem\StarModem USB Network\CnxTrApp.dll",AppEntry -REG "Conexant\Conexant USB Network"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programmi\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [AnyDVD] C:\Programmi\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [swg] C:\Programmi\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programmi\eMule\emule.exe -AutoStart
O4 - Startup: Clipmem Advanced.lnk = C:\Programmi\ClipMemAdvanced\clipmem.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programmi\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programmi\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: QuicKeys Engine.lnk = ?
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programmi\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {FA945BB6-9D37-43FC-9B2A-AF09F56CBBF0} - h**p://w*w.musicmatch.com/form/support/tech/diagnostics/cabs/DiagCollectionControl.cab
O20 - Winlogon Notify: winhdn32 - winhdn32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programmi\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmi\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Servizio Auto-Protect di Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Programmi\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programmi\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Dantz Development Corporation - C:\Programmi\Dantz\Retrospect\retrorun.exe
O23 - Service: Retrospect Helper - Dantz Development Corporation - C:\Programmi\Dantz\Retrospect\rthlpsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programmi\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FILECO~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Utilità di pianificazione di LiveUpdate automatico - Symantec Corporation - C:\Programmi\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 10062 bytes

06.01.2008, 12:51	#14
undoreal /// AVZ-Toolkit Guru	totaler anfänger bittet um hilfe :-( Also als erstes könntest du mal ein frisches HijackThis log posten.. __________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - Mit Sicherheit durch's Netz Trojaner Board Spenden Konto

totaler anfänger bittet um hilfe :-(

Plagegeister aller Art und deren Bekämpfung: totaler anfänger bittet um hilfe :-(