hi an alle

also koenntet ihr bitte mal so nett sein und mein log file checken pls weil ich einen trojaner drauf hatte der bei meiner HalfLife2.exe und an der halflife.exe war. Habe nun angst um den/die steam account(s)

HAbe a squared free durchlaufen lassen auf dicksten scanxD und der hat auch 2backdoor gefunden, habe dann alle gelöscht und neu gescannt mit stinger(aber alte version)

danke an alle

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:08:01, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20661)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
d:\Programme\a-squared Free\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\system32\oodag.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\wscntfy.exe
C:\WINXP\RTHDCPL.EXE
D:\Programme\Razer\Diamondback\razerhid.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINXP\system32\ctfmon.exe
D:\Programme\SpeedFan\speedfan.exe
D:\Programme\Razer\Diamondback\razertra.exe
D:\Programme\Razer\Diamondback\razerofa.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.xxx/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.xxx/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.xxxmicrosoft\Internet Explorer\Main,Search Page = http://go.microsoft.xxx/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.xxx/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [OODefragTray] C:\WINXP\system32\oodtray.exe
O4 - HKLM\..\Run: [Diamondback] d:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: SpeedFan.lnk = D:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4D38BCC-5D58-4FF1-8907-C6FC796581F8}: NameServer = 213.168.112.60 194.8.194.60
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - d:\Programme\a-squared Free\a2service.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe

--
End of file - 4896 bytes
         

kannst du auch selbst auswerten lassen:

hier:

HijackThis Logfileauswertung

Logfile reinkopieren, auf auswerten klicken, prozesse ansehen...

dann wirst du erkennen, daß du noch mist draufhast!

mach eine sicherung aller wichtiger dateien, am besten auf stick oder dvd.

platte platt machen, alles neu installieren und dann wieder logfile posten.

ich würde keine pf (personal firewall, zonelabs etc.) nutzen, nutz die windows interne, die filtert auch pakete...außerdem hast du doch bestimmt nen router /wlan router, der hat auch ne firewall, bitte die auch einschalten.

als virenscanner: avira, neuste ver. mit täglichen updates...sonst KEIN av scanner bitte.

jede zusätzlich installierte soft kann lücken aufweisen...bedeutet, je weniger sw, um so weniger potentielle lücken.

vergiss die xp sp updates nicht!

Zitat:

Zitat von saarschwenke

Logfile reinkopieren, auf auswerten klicken, prozesse ansehen...

dann wirst du erkennen, daß du noch mist draufhast!

mach eine sicherung aller wichtiger dateien, am besten auf stick oder dvd.

platte platt machen, alles neu installieren und dann wieder logfile posten.

Stop!

Erkläre bitte zuerst wieso du dem User eine Neuinstallation empfiehlst?

Ich kann beim besten Willen nichts entdecken was diesen Schritt rechtfertigt!

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

Art Schädlich (2.97 / 5.00)

wurde von der logfileauswertung als schädlich erkannt. den prozess selbst kenne ich nicht, wird aber angeblich nur einmal ausgeführt (runonce)

und wurde hier im board schon öfters erwähnt.

grundsätzlich setze ich mein system komplett neu auf, wenn ich was finde...trau schau wem.

natürlich mit einem backup eines funktionierenden, sauberen systems mit aller software.

Zitat:

Zitat von saarschwenke

Art Schädlich (2.97 / 5.00)

wurde von der logfileauswertung als schädlich erkannt. den prozess selbst kenne ich nicht, wird aber angeblich nur einmal ausgeführt (runonce)

Wer sich zu 100% auf die automatische Auswertung verlässt hat meiner Ansicht nach "verloren"!

Jedoch kannst du nicht davon ausgehen das andere genauso agieren wie du:

Zitat:

grundsätzlich setze ich mein system komplett neu auf, wenn ich was finde...

Der Eintrag im Hijacklog gehört im übrigen hierzu -> NLite ? Wikipedia



@newshit


Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ich verlasse mich auch nicht zu 100 % auf automaten ;-)

hm, natürlich gibts auch user, die ihr system nicht sichern, wel sie es schlichtweg nicht können...aber wie man seine wichtigen dateien auf cd / dvd oder stick zieht, sollte mittlerweile eigentlich fast 90 % der "user" wissen.

evtl. hat sich der "befallene" rechner ja nlite von einer quelle runtergeladen, die NICHT sicher war, oder aber programme die durch nlite installiert wurden waren nicht sauber..?

jedenfalls setze ich wie bereits gesagt mein system neu auf, wenn infektionen bekannt werden.

Ist selten...

Nachdem das befallene System neuinstalliert wurde, würde ich an deiner Stelle mal mehr Acht auf deine Sicherheit geben(Autostart Einträge prüfen,Kompletter Virenschutz)