Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Hitpointer - hab ich es bereits selbstgefixt ?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 12.09.2004, 10:10   #1
Vicop
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Ich hab seit 1 Woche das HITPOINTER Problem.

Vielleicht kann mir jemand helfen.

Zusatz: Ich hab mittels Anleitung bereits 7 Dateien selbst gefixt (Sobig F., usw.). Was kann ich noch löschen ?


Logfile of HijackThis v1.98.2
Scan saved at 10:03:40, on 12.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\windows\system32\mswavedll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\windows\system32\sncntr.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\windows\system32\sp2ctr.exe
C:\windows\system32\utfvwbej.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
F3 - REG:win.ini: run=c:\windows\system32\mswavedll.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc
O4 - HKCU\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.e-media.at
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68


Danke für die Hilfe !

Alt 12.09.2004, 11:25   #2
MountainKing
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Leider ist Hitpointer nicht dein einziges Problem, neben dem nach wie vor präsenten SoBig sind auch noch mindestens einige Trojanerdownloader vorhanden und evtl. auch aktive Backdoors:

http://www.sophos.de/virusinfo/analyses/trojdlucai.html
http://www.sophos.de/virusinfo/analy...jcrypterc.html

Ich würde an deiner Stelle einen klaren Schnitt machen:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen


Wenn du eine Reparatur versuchen willst (halte ich für die schlechtere Lösung, keiner weiss, was diese Downloader schon alles geholt haben):

Entpacke HJT in ein eigenes Verzeichnis und starte es von dort.


Hole dir E-Scan, update es wie beschrieben:

http://www.trojaner-board.de/42731-escan-anleitung.html



Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html


Beende die Prozesse:

mswavedll.exe
sncntr.exe
sp2ctr.exe
utfvwbej.exe
GMT.exe

Fixe mit Hijackthis:

C:\windows\system32\mswavedll.exe
C:\windows\system32\sncntr.exe
C:\windows\system32\sp2ctr.exe
C:\windows\system32\utfvwbej.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


Ist AON dein Provider oder so? Wenn nicht, fixe:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.aon.at;*.je


Fixe:

F3 - REG:win.ini: run=c:\windows\system32\mswavedll.exe
O4 - HKLM\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc
O4 - HKLM\..\Run: [sncntr] c:\windows\system32\sncntr.exe /nocomm
O4 - HKLM\..\Run: [sp2ctr] c:\windows\system32\sp2ctr.exe /nocomm
O4 - HKLM\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install
O4 - HKCU\..\Run: [TrayX] C:\WINDOWS\winppr32.exe /sinc
O4 - HKCU\..\Run: [Mswavedll] c:\windows\system32\mswavedll.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: (no name) - {AFC3FA82-AD07-45cd-8B57-983435B9899E} - (no file)


Was genau ist das?

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

Wenn du es nicht zuordnen kannst bzw, es zu keinem von dir installierten Programm gehört, fixen.

Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.


Besser: Punkte 1-11 alle in dieser Reihenfolge abarbeiten.
__________________


Alt 13.09.2004, 20:19   #3
Vicop
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Hallo Mountain King !

Ich danke dir sehr, dass du dir die Zeit genommen hast und mir hilfst.




Das Problem ist jetzt aber, dass ich eine derartige NULL in Sachen PC bin und ich fast keine deiner Anweisungen (alleine) durchführen kann.

Als ich die ersten Zeilen deiner Antwort gelesen habe, habe ich doch ein leicht flaues Gefühl im Magen bekommen, welche sich in Form gröberer Verzweiflung und Ratlosigkeit wiederspieglte und gegen Ende deines Berichtes jedoch in eine morz Übelkeit überging.

Ich schaffe es bestimmt nicht, den PC neu aufzusetzen.

Somit bleibt mir nur Punkt 2. (obwohl dies vermtl. keine Begeisterung bei dir auslöst)

Ich habe bereits mit HJT ein paar Programme gefixt.
Das Ganze sieht jetzt so aus:
Logfile of HijackThis v1.98.2
Scan saved at 21:09:57, on 13.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\windows\system32\utfvwbej.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\keybdcntl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 4 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install
O4 - HKLM\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68

Naja ich hoffe dass sieht nun besser aus *hm*

Ansonsten weiß ich jetzt nicht weiter.

Der Satz ist für mich ein Rätsel:Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Was ist booten, wie komme ich in den abgesicherten Modus und wie de/aktiviert man die Systemwiederherstellung ?

Und wie kann ich das fixen ?
C:\windows\system32\mswavedll.exe
C:\windows\system32\sncntr.exe
C:\windows\system32\sp2ctr.exe
C:\windows\system32\utfvwbej.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Und wie kann ich das beenden ?
mswavedll.exe
sncntr.exe
sp2ctr.exe
utfvwbej.exe
GMT.exe


Und warum zum Teufel ist ein PC quasi tot und ich merke gar nichts davon ?
Alles läuft normal und ich hab auch sonst nichts bemerkt?

Vielleicht hilfst du mir ja nochmal?

Und denke dir nichts dabei (bei meinen Fragen), im Normalleben bin ich ansonsten ganz fit, nur in Sachen PC eben ein.. eh schon wissen !

MFG und 1000 Dank
Klaus
__________________

Alt 14.09.2004, 09:35   #4
Vicop
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Achja noch etwas !

Für was habe ich eigentlich den blöden Norton Anti Virus 2004 gekauft ?

Und zweitens ein Bekannter hat mir gesagt ich möge es doch mit dem CWShredder versuchen.

Den hab ich jetzt downgeloaded, aber bitte wie funktioniert den das ???

Übrigens die Hitpointer Startseite amüsiert mich noch weiterhin täglich..

Bitte helft mir wer die Seite mal wegzubekommen...

Danke und schöne Woche noch !

Alt 14.09.2004, 10:53   #5
MountainKing
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Der Link, der das Neuaufsetzen beschreibt, ist eigentlich recht gut, wenn du den ausdruckst, dürfte nicht soooo viel schiefgehen. Aber ist schon klar, wenn man das noch nie gemacht hat, ist das nicht so einfach, vielleicht hast du ja jemanden im Bekanntenkreis, der dir zur Hand gehen kann?

Zunächst solltest du für HijackThis ein eigenes Verzeichnis erstellen und das Programm von dort aus starten, denn nur so kann das Programm Sicherheitskopien der Veränderungen anlegen.


Booten bedeutet starten, erklärt hier:

http://www.trojaner-board.de/63335-w...s-starten.html

Du beendest Programme, indem du den Taskmanager aufrufst (Str+Alt+Entf drücken, dort auf "Prozesse" gehst, die genannten markierst und dann auf "Prozess beenden" klickst.

Hier:

http://www.trojaner-board.de/42731-escan-anleitung.html

wird beschrieben, wo du dir das Programm E-Scan downloaden kannst und wie du es auf den aktuellsten Stand bringst, das machst du genauso, wie es dort steht.


Deaktiviere die Systemwiederherstellung:

http://www.systemwiederherstellung-d...indows-xp.html


Anhand deines neuen Logfiles solltest du jetzt folgende Prozesse beenden (s.o.):

utfvwbej.exe
keybdcntl.exe


Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

C:\windows\system32\utfvwbej.exe
C:\WINDOWS\System32\keybdcntl.exe
O4 - HKLM\..\Run: [UTFVWBEJ] c:\windows\system32\utfvwbej.exe /install
O4 - HKLM\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe
O4 - HKCU\..\Run: [Keybdcntl] c:\windows\system32\keybdcntl.exe (also BEIDE Einträge dieses Namens)

Zu AON hast du nichts gesagt, ich nehme mal an, dass das dein Internetprovider ist, daher lassen wir die entsprechenden Einträge erst mal so.



"Und warum zum Teufel ist ein PC quasi tot und ich merke gar nichts davon ?"

Dein PC ist alles andere als tot, er ist vielmehr quicklebendig und versorgt das Internet mit Würmern und anderen netten Tierchen.



"Für was habe ich eigentlich den blöden Norton Anti Virus 2004 gekauft ?"

Du hast leider etwas unsanft die Erkenntnis gewonnen, dass man sich NIE auf eine Sicherheitssoftware 100%ig verlassen darf. Die Meinung "Ich habe mir Virenscanner X und Firewall Y installiert, jetzt bin ich geschützt und ich kann machen, was ich will!" ist fatal.
Ich empfehle dir, dazu diesen Link zu lesen:

http://www.mathematik.uni-marburg.de...ompromise.html


In den 11 Punkten sind auch einige aufgeführt, die du, auch wenn du nicht neu installierst, für die Zukunft beherzigen solltest, beispielsweise das Wechseln der Passwörter und die Verwendung alternativer Software, die Konfiguration der aktiven Inhalte, das regelmäßige Windowsupdate. Das Beachten dies und einiger anderer prinzipieller Dinge bringt letztlich mehr als die Installation von bestimmten Programmen, die Schutz versprechen. Sie sind deswegen nicht automatisch völlig sinnlos, aber sie haben eben auch ihre Grenzen.


Alt 15.09.2004, 19:56   #6
Vicop
 
Hitpointer - hab ich es bereits selbstgefixt ? - Standard

Hitpointer - hab ich es bereits selbstgefixt ?



Hallo !

Zuerst möchte ich mich wieder für dein Antwort bedanken.
Das mit EScan im angesicherten Modus hat funktioniert.

Es wurde 66 Viren gefunden.
Die Meisten -deleted

Aber nun schon wieder ein paar Fragen. Was passiert mit den -NO ACTION TAKEN und den -FILE RENAMED ?
Muß ich da noch was machen ?

Mein LOG sieht jetzt so aus:
Logfile of HijackThis v1.98.2
Scan saved at 20:45:16, on 15.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Alcatel\Dragdiag.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\windows\system32\twjaudvc.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\KLAUS\Lokale Einstellungen\Temp\Temporäres Verzeichnis 5 für hijackthis.zip\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.aon.at:8080;http=proxy.aon.at:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.aon.at;*.jet2web.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WorksFUD] c:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] c:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] c:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TWJAUDVC] c:\windows\system32\twjaudvc.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{1321E885-41A6-492C-A2B6-C1FF494A7B8C}: NameServer = 195.3.96.67 195.3.96.68



Und dazu noch eine Frage: Ich kann nur die R1, O4, O8 usw. (also Buchstabe und Ziffer) fixen. aber wo finde ich bitte die sog. running process zum fixen, (also C:windows/system32 usw..) wenn ich den HJT starte und dann scanne habe ich keine möglichkeit gefunden..

Achja AON ist mein Provider. sorry

Naja und obwohl ich jetzt eigentlich eh viel gemacht habe ist der blöde hitpointer noch immer da

Sieht mein log jetzt besser aus (also ich bin zumindest um 66 Viren leichter, sobig, beagle usw.. )

Bitte sag mir wie ich den wegbringe...
DAnke dir 1000 Mal !!

Antwort

Themen zu Hitpointer - hab ich es bereits selbstgefixt ?
.inf, adobe, alcatel, antivirus, askbar, bho, dateien, diagnostics, drivers, einstellungen, excel, explorer, ftp, hijack, hijackthis, hilfe, internet, internet explorer, internet security, löschen, microsoft, norton internet security, programme, security, security center, software, sun java, symantec, system, tcpip, temp, toolbars, usb, windows, windows messenger, windows xp




Ähnliche Themen: Hitpointer - hab ich es bereits selbstgefixt ?


  1. Spyhunter-Bin ich bereits infiziert?
    Mülltonne - 18.04.2014 (1)
  2. GVU Trojaner - System bereits wiederhergestellt!
    Log-Analyse und Auswertung - 06.07.2013 (11)
  3. GVU Trojaner, OTL Logfiles bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (1)
  4. Yontoo - Bereits entfernt, Vergewisserung
    Plagegeister aller Art und deren Bekämpfung - 23.04.2013 (8)
  5. mail delivered OTL bereits drübergelaufen
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (8)
  6. Google, FB startet nicht, Delta Search vor einer Woche bereits deinstalliert, ungewollte Werbeeinblendungen ebenfalls bereits deinstalliert
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (7)
  7. GVU-Trojaner- WindowsUnlocker bereits erfolgreich
    Log-Analyse und Auswertung - 04.02.2013 (40)
  8. Suisa - Symptome bereits entfernt
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (10)
  9. Virus SMART HDD, OTL-Log bereits erfolgt
    Plagegeister aller Art und deren Bekämpfung - 11.04.2012 (9)
  10. 50€-AKM-Virus: OTL-Files bereits vorhanden
    Log-Analyse und Auswertung - 31.03.2012 (20)
  11. 50 Euro Virus, OTL Log´s bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (2)
  12. 50 Euro Trojaner, OTL bereits
    Plagegeister aller Art und deren Bekämpfung - 01.02.2012 (9)
  13. Bundespolizei-Virus, OTL.txt liegt bereits vor
    Log-Analyse und Auswertung - 03.08.2011 (5)
  14. Schlachtenmusik Logfiles bereits vorhanden
    Plagegeister aller Art und deren Bekämpfung - 05.08.2010 (5)
  15. Problem -->bereits formatiert
    Mülltonne - 12.07.2008 (1)
  16. PC stürzt bereits beim Ladevorgang ab!
    Alles rund um Windows - 17.09.2005 (5)
  17. Hitpointer
    Log-Analyse und Auswertung - 08.09.2004 (2)

Zum Thema Hitpointer - hab ich es bereits selbstgefixt ? - Ich hab seit 1 Woche das HITPOINTER Problem. Vielleicht kann mir jemand helfen. Zusatz: Ich hab mittels Anleitung bereits 7 Dateien selbst gefixt (Sobig F., usw.). Was kann ich noch - Hitpointer - hab ich es bereits selbstgefixt ?...
Archiv
Du betrachtest: Hitpointer - hab ich es bereits selbstgefixt ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.