da ich das Gefühl habe, das da sich auf meinem Rechner im Hintergrund ein paar böse Sachen abspielen

Logfile of HijackThis v1.98.2
Scan saved at 17:26:25, on 31.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\svxhost.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\msxml32.exe
C:\WINDOWS\System32\sysentry32.exe
C:\WINDOWS\System32\winu32.exe
C:\WINDOWS\System32\svchost32.exe
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\updater.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Software sonstige\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [WindowsRegKey update] updater.exe
O4 - HKLM\..\Run: [XML Service] msxml32.exe
O4 - HKLM\..\Run: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Internet Iexplorer] svchost32.exe
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [SVX Control Service] svxhost.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKLM\..\RunServices: [WindowsRegKey update] updater.exe
O4 - HKLM\..\RunServices: [XML Service] msxml32.exe
O4 - HKLM\..\RunServices: [System Uptime Server] sysentry32.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Internet Iexplorer] svchost32.exe
O4 - HKLM\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SVX Control Service] svxhost.exe
O4 - HKCU\..\Run: [WindowsRegKey update] updater.exe
O4 - HKCU\..\RunOnce: [SVX Control Service] svxhost.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plkdqi32.dll (file missing)


Ich danke schon mal im Voraus

Gruss Tom

Hallo,

dein System ist leider völlig durchseucht mit aktiver Malware, darunter auch aktive Backdoor Trojaner (die bot Familie lässt grüßen)!
Imho kommt nur ein Neuaufsetzen deines Systems in Frage, wenn du wieder ein sauberes System haben willst.
http://oschad.de/wiki/index.php/Kompromittierung

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. Deine Passwörter ändern
8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
9. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

So schlimm, meinst Du, ich hab mal den Auto-Checker von www.hijackthis.de durchlaufen lassen, und der motzt mir eigentlich nur "3" als Böse an. Einer davon wäre dieser da -> O4 - HKLM\..\Run: [SVX Control Service] svxhost.exe

Ich hab den PC erst seit 2 Wochen, und als ich I-Net eingerichtet hatte funzte alles normal, aber dann ging es los, der Datenempfang wurde immer langsamer (es wurden Unmengen an Daten weggesandt, welche die Leitung dicht machten). Hab mir daraufhin ne Anti-Viren-Software und ne Firewall besorgt.
Und dabei festgestellt, das sehr viele ".exe"n, meinte Leitung benutzen wollen, hab diese alle mal in der Firewall nicht zugelassen.

Ich hab auch die o.g. Datei über msconfig deaktiviert, und auch die Datei aus dem Verzeichnis gelöscht, wo sich diese befand.

Nun läuft der Rechner im I-Net eigentlich "normal" von der Geschwindigkeit her, obwohl immer noch ein paar Daten einfach so gesendet werden !!!

Meint Ihr nicht, das ich da nochmal irgendwie ohne einen F-Disk zu rande kommen könnte.

Zitat:

und der motzt mir eigentlich nur "3" als Böse an.

Ein Prozess dieser Sorte würde schon ausreichen, um zu formatieren und XP neuaufzuspielen.

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Zitat:

ch hab den PC erst seit 2 Wochen, und als ich I-Net eingerichtet hatte funzte alles normal, aber dann ging es los, der Datenempfang wurde immer langsamer

Auch das ist klar, dein System war nicht entsprechend abgesichert vor der I-net Verbindung.

Zitat:

Nun läuft der Rechner im I-Net eigentlich "normal" von der Geschwindigkeit her, obwohl immer noch ein paar Daten einfach so gesendet werden !!!

Das sollte dich doch stutzig machen.

Zitat:

Meint Ihr nicht, das ich da nochmal irgendwie ohne einen F-Disk zu rande kommen könnte.

Nein!
[Ironie an] Es sei denn, du teilst gerne dein Rechner mit anderen I-net User [Ironie aus]
Aber mal im Ernst, denk doch bitte mal an:
- Online-Banking
- Ebay
- Online-Shoppen
- Bewerbungen, Kreditkartennummern,
- vertrauliche Dokumente und Emails
- Missbrauch des System für illegale Sachen, wie Spamversand (rechtsradikalen Propaganda-Mails)
- Server für abgelegte Daten wie z.B. Kinderpornografie usw.
- DDOS-Attacken

So nun hab ich XP neu augespielt, nur DFÜ-Eingerichtet (mit Firewall) und dann die ganzen Updates (auch SP2) gezogen, hat zwar alles seeeeehr lange gedauert, aber nu ist alles auf dem laufenden.
Habe als Firewall nun noch zusätzlich Securepoint Personal Firewall und als VirenProgramm "AntiVir" in der Version 6.0

Danach hab ich mir den Mozilla gezogen und nu surf ich nur noch mit Mozilla !!!

Hab nun nochmals Hijack laufen lassen und bei der automatischen Auswertung gab es nichts böses mehr. Unten ist das LOG.

Äh ... meint Ihr, das ich nu (ziemlich) sicher bin, oder soll ich noch was inst'en, was hilft, das mein PC "sauber" bleibt ?

Hier das aktuelle HiJack-Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 19:52:03, on 04.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\sonstige Anwendungen\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\SONSTI~1\WINZIP\winzip32.exe
C:\sonstige Anwendungen\hijackthis\HijackThis.exe

Danke für die vorherigen Aussagen und evtl. Tipps von Euch, die noch kommen mögen

Das Log-File ist zwar nicht vollständig, aber bei den laufenden Prozessen seh ich auch nichts verdächtiges, ergo sauber.

Zitat:

Äh ... meint Ihr, das ich nu (ziemlich) sicher bin, oder soll ich noch was inst'en, was hilft, das mein PC "sauber" bleibt ?

Momentan ist dein System sauber und wäre nun bereit für Image:
Damit es auch so bleibt, benutze immer dein Brain bevor du irgendetwas ausführst.
Weitere Absicherung findest du hier:
http://faq.underflow.de/#SECTION000110000000000000000

btw: Sicherheit hast nichts mit der Anzahl der installierten Software zu tun, denn sie erhöhen nur unnötig die Angriffsfläche auf dein System.

Hallo..ich bin neu hier und aus dem benachbarten Austria....smile

Bin mich gerade mit dem thema Firewall am auseinandersetzen und wollte im zuge dessen mein System auf Schläfer untersuchen.

Plötzlich hörte ich denBegriff logfile?!? Hab jedenfalls denn Hijack runtergeladen und dieses Ergebniss herausbekommen......


Logfile of HijackThis v1.98.2
Scan saved at 20:57:44, on 14.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.2\program\soffice.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Avant Browser\avant.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\WinXP\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startpage.iload.to/?m=abc&t=&u=http:%2F%2Fwww.vol.at%2F&x=E17ECF3B-C89A-474F-BB28-39FD72C0C691&pid=386-a2p-0-0-}ct=AT
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: OpenOffice.org 1.1.2.lnk = C:\Programme\OpenOffice.org1.1.2\program\quickstart

Ist das gut so? lach

Wäre nett wenn mir jemand schnell mal drüber schaut der sich da auskennt...
denn ich tu es nicht...smile

1000000 Dank im vorhinein..

Karim

Hallo,
hier wirst du fündig:
www.hijackthis.de

Dies wäre evtl. zu fixen:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startpage.iload.to/?m=abc&t=&u=http:%2F%2Fwww.vol.at%2F&x=E17ECF3B-C89A-474F-BB28-39FD72C0C691&pid=386-a2p-0-0-}ct=AT

Beende deine unnötigen Dienste:
http://www.dingens.org
Schließe deine Ports ...

... dann wird eine Firewall im Normalfall überflüssig.