habe mir heut ein programm geladen das wohl die dateien au_.exe und bu_.exe in den lokalen temp ordner (nsu.tmp) kopierte diese führten sich dann aus und blieben in der taskleiste, zonealarm meldete programm zugriff ausgehend und sperrte beide. habe danach den nsu.tmp ordner gelöscht und neu gestartet danach kam nix (auch kein neuer nsu.tmp ordner) mehr kein eintrag im task menü meine frage ist ist mein rechner nu befallen oder sauber? würd mich über hilfe freuen

ps: habe in mehreren foren gelesen das die beiden progs den trojaner spyfalcon laden ? zonealarm sperrte aber den zugriff heißt das kein laden von spyfalcon oder wie ist das nu

Hallöle.

Poste bitte ein HijackThis log. Anleitung gibt's im FAQ Bereich.

Logfile of HijackThis v1.99.1
Scan saved at 17:30:57, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\Explorer.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
C:\Programme\D-Link\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ycomp/defaults/sb/*http://www.yahoo.com/search/ie.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ycomp/defaults/su/*http://www.yahoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\D-Link\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\D-Link\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pcg: C:\Programme\Internet Explorer\Plugins\nppcgplg.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197966550968
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB1A485C-992F-4209-AA38-55766D22E6EF}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\D-Link\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


so da is sie =)

Updaten deinen I-Net Explorer bitte auf version 7. auch wenn du ihn nicht nutzt..

Dann führe bitte einen eScan durch. Anleitung gibt's in miener Signatur.

e-scan? hm hab mein system mit antivir und spybot gescannt und nix gefunden und der 6 ist mir lieber als der 7 ner um ehrlich zu sein kam der befall durch eigenverschulden und nicht durch ne browser lücke soweit ich weiß

Wenn du dich meinen Empfehlungen nicht anschließen magst. O.k.

der hat 11 trojaner viren und spyware gefunden juhuuu aber nochnicht mal ne löschen funktion hab nach fast 2 stunden abgebrochen

und jetzt les ich von einem moderator von HijackThis das escan schwachsinn ist da er viele fehlalarme auslöse um die verkaufszahlen anzukurbel was soll man da noch glauben schade naja

Zitat:

und jetzt les ich von einem moderator von HijackThis das escan schwachsinn ist da er viele fehlalarme auslöse um die verkaufszahlen anzukurbel

war das nicht zufällig ich??

Wir werten das log aus. Was eScan sagt ist schei* egal. Wir verwenden es als AnalyseTool.

ne das war jemand anderes aber die kommentare die meinen escan ist schei.... häufen sich =) so hier ist meine log file naja hab die einträge selbst rauskopiert

18 Feb 2008 20:28:01 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
18 Feb 2008 20:28:02 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 343537].
18 Feb 2008 20:28:05 => Indexed Spyware Databases Successfully Created...

18 Feb 2008 20:28:17 => System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Maßnahme ergriffen.
18 Feb 2008 20:28:20 => Offending Key found: HKCR\magnet !!!
18 Feb 2008 20:28:20 => Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:22 => Offending file found: C:\windows\gpinstall.exe
18 Feb 2008 20:28:22 => System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:24 => Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\icq\bart\1024
18 Feb 2008 20:28:24 => Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:49 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe
18 Feb 2008 20:28:49 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:28:55 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe
18 Feb 2008 20:28:55 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\eye of the beholder2\start.exe
18 Feb 2008 20:29:03 => System found infected with multipassrecover Spyware (start.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\sttng\trans.exe
18 Feb 2008 20:29:03 => System found infected with addestroyer Spyware/Adware (trans.exe)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending file found: C:\windows\system32\unrar.dll
18 Feb 2008 20:29:03 => System found infected with savenow Adware (C:\windows\system32\unrar.dll)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 20:29:03 => Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll
18 Feb 2008 20:29:03 => System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen.

18 Feb 2008 22:01:25 => Datei E:\Programme\Bethesda Softworks\Star Trek Legacy\patch_cb75d084b162f622db4613b2db7aeb67.exe infiziert durch den Virus "NULL.Corrupted"! Maßnahme ergriffen: Keine Maßnahme ergriffen.


so das waren alle 11 die ich nach fast zwei stunden gefunden hab da war noch ne menge zu scannen aber alles spiele und filme das wichtigste die windows files hat er hab dann abgebrochen

achja und die 309 fehler von daten die nicht vorhanden sind nicht zu vergessen =) danke im vorraus

hm unter zone alarm programm auflistungen zeigt er dauernd ausgehend und eingehende verbindungen von der svhost.exe an port 169.254..... und 85.177....... wird gespeert ist das normal das er heut fast alle 20 minuten verbindung hat langsam werd ich paranoid

Zitat:

aber die kommentare die meinen escan ist schei....

es ist mühsam das log auszuwerten und zwischen echten Funden und FPs zu unterscheiden. Dafür bietet kein anderes Prog eine so hohe "Erkennungsrate".

Mit dem eScan Bericht kann ich nichts anfangen. Lies dir bitte die Anleitung nochmal durch.

ja ich weiß trotzdem danke aber nochmal scannen mach ich jetzt nicht ausser das mit den bu_.exe und au_. exe ist mir auch nichts aufgefallen aber das kennst du scheinbar nicht die programme bzw. viren bevor ich hier noch ganz paranoid werde lasse ich es wohl lieber =P trotzdem danke für deine mühe thx

Du musst natürlich wissen was du tust, aber du brauchst auch nicht noch mal zu scannen. Wenn du das Logfile von eScan noch hast, dann lasse es mit der so genannten find.bat auswerten. Vorher

Zitat:

Zitat von undoreal

Lies dir bitte die Anleitung nochmal durch.