|
Log-Analyse und Auswertung: Hitpointer - hab ich es bereits selbstgefixt ?Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
12.09.2004, 10:10 | #1 |
| Hitpointer - hab ich es bereits selbstgefixt ? Ich hab seit 1 Woche das HITPOINTER Problem. Vielleicht kann mir jemand helfen. Zusatz: Ich hab mittels Anleitung bereits 7 Dateien selbst gefixt (Sobig F., usw.). Was kann ich noch löschen ? Logfile of HijackThis v1.98.2 Scan saved at 10:03:40, on 12.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\windows\system32\mswavedll.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Alcatel\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\windows\system32\sncntr.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\windows\system32\sp2ctr.exe C:\windows\system32\utfvwbej.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net F3 - REG:win.ini: run=c:\windows\system32\mswavedll.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc O4 - HKCU\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.e-media.at O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 Danke für die Hilfe ! |
12.09.2004, 11:25 | #2 |
| Hitpointer - hab ich es bereits selbstgefixt ? Leider ist Hitpointer nicht dein einziges Problem, neben dem nach wie vor präsenten SoBig sind auch noch mindestens einige Trojanerdownloader vorhanden und evtl. auch aktive Backdoors:
__________________http://www.sophos.de/virusinfo/analyses/trojdlucai.html http://www.sophos.de/virusinfo/analy...jcrypterc.html Ich würde an deiner Stelle einen klaren Schnitt machen: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Wenn du eine Reparatur versuchen willst (halte ich für die schlechtere Lösung, keiner weiss, was diese Downloader schon alles geholt haben): Entpacke HJT in ein eigenes Verzeichnis und starte es von dort. Hole dir E-Scan, update es wie beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html Deaktiviere die Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Beende die Prozesse: mswavedll.exe sncntr.exe sp2ctr.exe utfvwbej.exe GMT.exe Fixe mit Hijackthis: C:\windows\system32\mswavedll.exe C:\windows\system32\sncntr.exe C:\windows\system32\sp2ctr.exe C:\windows\system32\utfvwbej.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Ist AON dein Provider oder so? Wenn nicht, fixe: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.aon.at;*.je Fixe: F3 - REG:win.ini: run=c:\windows\system32\mswavedll.exe O4 - HKLM\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install O4 - HKCU\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc O4 - HKCU\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file) Was genau ist das? O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup Wenn du es nicht zuordnen kannst bzw, es zu keinem von dir installierten Programm gehört, fixen. Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Besser: Punkte 1-11 alle in dieser Reihenfolge abarbeiten. |
13.09.2004, 20:19 | #3 |
| Hitpointer - hab ich es bereits selbstgefixt ? Hallo Mountain King !
__________________Ich danke dir sehr, dass du dir die Zeit genommen hast und mir hilfst. Das Problem ist jetzt aber, dass ich eine derartige NULL in Sachen PC bin und ich fast keine deiner Anweisungen (alleine) durchführen kann. Als ich die ersten Zeilen deiner Antwort gelesen habe, habe ich doch ein leicht flaues Gefühl im Magen bekommen, welche sich in Form gröberer Verzweiflung und Ratlosigkeit wiederspieglte und gegen Ende deines Berichtes jedoch in eine morz Übelkeit überging. Ich schaffe es bestimmt nicht, den PC neu aufzusetzen. Somit bleibt mir nur Punkt 2. (obwohl dies vermtl. keine Begeisterung bei dir auslöst) Ich habe bereits mit HJT ein paar Programme gefixt. Das Ganze sieht jetzt so aus: Logfile of HijackThis v1.98.2 Scan saved at 21:09:57, on 13.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Alcatel\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Winamp\Winampa.exe C:\windows\system32\utfvwbej.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\keybdcntl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install O4 - HKLM\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 Naja ich hoffe dass sieht nun besser aus *hm* Ansonsten weiß ich jetzt nicht weiter. Der Satz ist für mich ein Rätsel:Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Was ist booten, wie komme ich in den abgesicherten Modus und wie de/aktiviert man die Systemwiederherstellung ? Und wie kann ich das fixen ? C:\windows\system32\mswavedll.exe C:\windows\system32\sncntr.exe C:\windows\system32\sp2ctr.exe C:\windows\system32\utfvwbej.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe Und wie kann ich das beenden ? mswavedll.exe sncntr.exe sp2ctr.exe utfvwbej.exe GMT.exe Und warum zum Teufel ist ein PC quasi tot und ich merke gar nichts davon ? Alles läuft normal und ich hab auch sonst nichts bemerkt? Vielleicht hilfst du mir ja nochmal? Und denke dir nichts dabei (bei meinen Fragen), im Normalleben bin ich ansonsten ganz fit, nur in Sachen PC eben ein.. eh schon wissen ! MFG und 1000 Dank Klaus |
14.09.2004, 09:35 | #4 |
| Hitpointer - hab ich es bereits selbstgefixt ? Achja noch etwas ! Für was habe ich eigentlich den blöden Norton Anti Virus 2004 gekauft ? Und zweitens ein Bekannter hat mir gesagt ich möge es doch mit dem CWShredder versuchen. Den hab ich jetzt downgeloaded, aber bitte wie funktioniert den das ??? Übrigens die Hitpointer Startseite amüsiert mich noch weiterhin täglich.. Bitte helft mir wer die Seite mal wegzubekommen... Danke und schöne Woche noch ! |
14.09.2004, 10:53 | #5 |
| Hitpointer - hab ich es bereits selbstgefixt ? Der Link, der das Neuaufsetzen beschreibt, ist eigentlich recht gut, wenn du den ausdruckst, dürfte nicht soooo viel schiefgehen. Aber ist schon klar, wenn man das noch nie gemacht hat, ist das nicht so einfach, vielleicht hast du ja jemanden im Bekanntenkreis, der dir zur Hand gehen kann? Zunächst solltest du für HijackThis ein eigenes Verzeichnis erstellen und das Programm von dort aus starten, denn nur so kann das Programm Sicherheitskopien der Veränderungen anlegen. Booten bedeutet starten, erklärt hier: http://www.trojaner-board.de/63335-w...s-starten.html Du beendest Programme, indem du den Taskmanager aufrufst (Str+Alt+Entf drücken, dort auf "Prozesse" gehst, die genannten markierst und dann auf "Prozess beenden" klickst. Hier: http://www.trojaner-board.de/42731-escan-anleitung.html wird beschrieben, wo du dir das Programm E-Scan downloaden kannst und wie du es auf den aktuellsten Stand bringst, das machst du genauso, wie es dort steht. Deaktiviere die Systemwiederherstellung: http://www.systemwiederherstellung-d...indows-xp.html Anhand deines neuen Logfiles solltest du jetzt folgende Prozesse beenden (s.o.): utfvwbej.exe keybdcntl.exe Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\windows\system32\utfvwbej.exe C:\WINDOWS\System32\keybdcntl.exe O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install O4 - HKLM\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe O4 - HKCU\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe (also BEIDE Einträge dieses Namens) Zu AON hast du nichts gesagt, ich nehme mal an, dass das dein Internetprovider ist, daher lassen wir die entsprechenden Einträge erst mal so. "Und warum zum Teufel ist ein PC quasi tot und ich merke gar nichts davon ?" Dein PC ist alles andere als tot, er ist vielmehr quicklebendig und versorgt das Internet mit Würmern und anderen netten Tierchen. "Für was habe ich eigentlich den blöden Norton Anti Virus 2004 gekauft ?" Du hast leider etwas unsanft die Erkenntnis gewonnen, dass man sich NIE auf eine Sicherheitssoftware 100%ig verlassen darf. Die Meinung "Ich habe mir Virenscanner X und Firewall Y installiert, jetzt bin ich geschützt und ich kann machen, was ich will!" ist fatal. Ich empfehle dir, dazu diesen Link zu lesen: http://www.mathematik.uni-marburg.de...ompromise.html In den 11 Punkten sind auch einige aufgeführt, die du, auch wenn du nicht neu installierst, für die Zukunft beherzigen solltest, beispielsweise das Wechseln der Passwörter und die Verwendung alternativer Software, die Konfiguration der aktiven Inhalte, das regelmäßige Windowsupdate. Das Beachten dies und einiger anderer prinzipieller Dinge bringt letztlich mehr als die Installation von bestimmten Programmen, die Schutz versprechen. Sie sind deswegen nicht automatisch völlig sinnlos, aber sie haben eben auch ihre Grenzen. |
15.09.2004, 19:56 | #6 |
| Hitpointer - hab ich es bereits selbstgefixt ? Hallo ! Zuerst möchte ich mich wieder für dein Antwort bedanken. Das mit EScan im angesicherten Modus hat funktioniert. Es wurde 66 Viren gefunden. Die Meisten -deleted Aber nun schon wieder ein paar Fragen. Was passiert mit den -NO ACTION TAKEN und den -FILE RENAMED ? Muß ich da noch was machen ? Mein LOG sieht jetzt so aus: Logfile of HijackThis v1.98.2 Scan saved at 20:45:16, on 15.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Alcatel\Dragdiag.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Winamp\Winampa.exe C:\windows\system32\twjaudvc.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [TWJAUDVC] c:\windows\system32\twjaudvc.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68 Und dazu noch eine Frage: Ich kann nur die R1, O4, O8 usw. (also Buchstabe und Ziffer) fixen. aber wo finde ich bitte die sog. running process zum fixen, (also C:windows/system32 usw..) wenn ich den HJT starte und dann scanne habe ich keine möglichkeit gefunden.. Achja AON ist mein Provider. sorry Naja und obwohl ich jetzt eigentlich eh viel gemacht habe ist der blöde hitpointer noch immer da Sieht mein log jetzt besser aus (also ich bin zumindest um 66 Viren leichter, sobig, beagle usw.. ) Bitte sag mir wie ich den wegbringe... DAnke dir 1000 Mal !! |
Themen zu Hitpointer - hab ich es bereits selbstgefixt ? |
.inf, adobe, alcatel, antivirus, askbar, bho, dateien, diagnostics, drivers, einstellungen, excel, explorer, ftp, hijack, hijackthis, hilfe, internet, internet explorer, internet security, löschen, microsoft, norton internet security, programme, security, security center, software, sun java, symantec, system, tcpip, temp, toolbars, usb, windows, windows messenger, windows xp |