Nabend!


Ich war schon mal vor einiger Zeit mit einen anderen Namen hier. Leider hatte ich den vergessen - auch mein Passwort.

Damals hat man mir bei Hi-jackern schnell und gut weitergeholfen.

Folgendes Problem:


Ich hatte vor kurzen meinen Rechner aufgerüstet und Xp neu installiert. Die erforderlichen Updates für Windows Xp und IE hatte ich nicht alle auf der Festplatte bzw. manche werde direkt installiert(irgendwo hinkopiert).

Da ich dann für ein bestimmtes Update eine Internetverbindung brauchte um die anderen Updates zu installieren, befand ich mich in einem Zeitfenster. Das wurde gleich genutzt um mir mehrere Viren "reinzuwürgen".

Die Internetverbindung wurde merklich langsamer und der Rechner ist wegen jeden Furz abgestürzt. Meistens im Internet einfach so. Der eine hiess winimi.exe. Der andere - weiss ich net mehr.

Wie gesagt war ich schonmal hier und wusste welche Programme erforderlich sind. Hi-jack This und Stinger. Die anderen bringen meistens nichts. NAV kann ich inne Tonne kloppen.

Dann habe ich die Systemwiederherstellung deaktiviert und im abgesicherten Modus neugestartet. Dann Hi-jack Einträge gefixed. Und Stinger laufen lassen bzw die Dateien in System 32 manuell entfernt. Danach waren sie weg.

Aber Windows stürzt immer noch manchmal ohne Grund ab. Meistens bei Multimediaanwendungen wie 3D Mark oder Winamp. Habe mal im Taskmanager geguckt was da noch so läuft:

- nvsvc32.exe
- alg.exe
- ctfmon.exe
- explorer.exe
- spoolsv.exe
- taskmgr.exe
- svchost.exe = 4 mal!!!!
- lsass.exe
- services.exe
- winlogon.exe
- csrss.exe
- smss.exe
- System
- Leerlaufprozess

Habe per Googel gelesen das ctfmone.exe nur für Office erforderlich ist und sonst überflüssig. Die habe ich für den nächsten Neustart deaktiviert.

Außerdem benutze ich nich Tune Up Utilities XP und XP Antispy.


Die letzte HiJack This Auswertung sieht so aus:

Logfile of HijackThis v1.97.7
Scan saved at 20:16:04, on 13.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Freak\Eigene Dateien\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.casinopalazzo.com/index.php?sourceid=102920
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: BHODemon.lnk = C:\Programme\BHODemon\BHODemon.exe
O9 - Extra button: Preispiraten 2.1.2 (HKLM)
O9 - Extra button: eBay Homepage (HKLM)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...209.0590162037
O17 - HKLM\System\CCS\Services\Tcpip\..\{25B6EB4D-B4A2-45DA-ABB8-A0BF20329DA3}: NameServer = 217.237.149.161 194.25.2.129


Ist das noch was faul?

@Andy1976
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.casinopalazzo.com/index.php?sourceid=102920

fixen!

Die andere Einträge sagen mir nix, den casinopalazzo hab ich schon mal gesehen.

chaosman

Zitat:

Zitat von chaosman

@Andy1976
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.casinopalazzo.com/index.php?sourceid=102920

fixen!

Die andere Einträge sagen mir nix, den casinopalazzo hab ich schon mal gesehen.

chaosman

Ja danke, aber welche Datei hängt da hinter?

Selbst wenn ich den Eintrag fixe, ist doch immer noch irgendwo eine Datei, die diesen Eintrag verursacht oder nicht?

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Dein System ist nicht ausreichend gepatcht!
http://v4.windowsupdate.microsoft.com/de/default.asp

Zitat:

Logfile of HijackThis v1.97.7

Lade die neue Version v1.98.2 runter und poste danach ein neues Log-File.
http://www.trojaner-board.de/51130-a...ijackthis.html

Zitat:

Zitat von Cidre

Lade die neue Version v1.98.2 runter und poste danach ein neues Log-File.
http://www.trojaner-board.de/51130-a...ijackthis.html

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andy\Eigene Dateien\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: Preispiraten 2.1.2 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{25B6EB4D-B4A2-45DA-ABB8-A0BF20329DA3}: NameServer = 217.237.149.161 194.25.2.129

Hast du die System Informationen absichtlich ausgeblendet?

Zitat:

Zitat von Cidre

Hast du die System Informationen absichtlich ausgeblendet?

Nein, aber die sind doch für die Hijack This Auswertung der Einträge unwichtig oder?

Habe den SP1 jetzt drauf aber es geht ja darum ob doch irgendwo Einträge von Trojanern ect. sind.....

PS:OK, hier nochmal die Info´s

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Zitat:

Nein, aber die sind doch für die Hijack This Auswertung der Einträge unwichtig oder?

Irrtum.
Daran lässt sich erkennen, wie dein System gepatcht ist. Also sehr wichtig.

Diese Einträge solltest du noch fixen, weil überflüssig:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)

Du solltest noch weitere Sicherheitsmaßnahmen ergreifen:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/
- dein System updaten und stets aktuell halten http://v4.windowsupdate.microsoft.com/de/default.asp
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Weitere Infos zum Thema Sicherheit:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Zitat:

Zitat von Cidre

Irrtum.
Daran lässt sich erkennen, wie dein System gepatcht ist. Also sehr wichtig.

Diese Einträge solltest du noch fixen, weil überflüssig:
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)

Du solltest noch weitere Sicherheitsmaßnahmen ergreifen:
- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/
- dein System updaten und stets aktuell halten http://v4.windowsupdate.microsoft.com/de/default.asp
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Weitere Infos zum Thema Sicherheit:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/#SECTION000110000000000000000

Ok, ich danke dir. Der Computer läuft schon wieder viel stabiler seitdem ich den SP1 draufhabe und die Viren weg sind. Heute kein einziger Absturz und auch guten Speed!

Habe doch noch ein Problem. Dachte es wäre weg.


Also ich verwende ja noch XP Antispy. Und mein Rechner kackt immer noch ab. Ich denke das es an einer Antispy Einstellung liegt. Weil im Ereignisprotokoll folgendes angezeigt wird:

Dcom kann nicht gestartet werden. Entweder ist es deaktiviert oder mit nicht aktiven Geräten verbunden. Als der Dienst "upnhost" gestartet wurde um den folgenden Server zu verwenden 204810B9-73B-11D4-BF42-00B0D0118B56

Was wurde zuviel deaktiviert? Wo ist der Fehler?

Außerdem rödeln die Festplatten neuerdings im Hintergrund - einfach so!