Biite um HiJackLog Auswertung

papuaneuguinea · 25.09.2004, 21:24

Hallo Ihr Lieben,

Ich habe in letzter Zeit arge Probleme auf meinem PC und hoffe das mir jemand weiterhelfen kann.

Hier die HiJacklog:

Logfile of HijackThis v1.98.2
Scan saved at 22:06:10, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Borland\INTRBASE\bin\ibguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Borland\INTRBASE\bin\ibserver.exe
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\01db\Symphonie Driver\exe\IconDlg.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\arsetup.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Apoint2K\Apntex.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe
C:\WINDOWS\System32\msgrsv32.exe
C:\Programme\Telekom\Eumex 504PC SE\HNetCtrl.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Grit\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=surfproxy.freenet.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [IconDlg.exe] C:\Programme\01db\Symphonie Driver\exe\IconDlg.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [windows monitor] C:\arsetup.exe
O4 - HKLM\..\Run: [win] xwinxrpc32.exe
O4 - HKLM\..\Run: [Messenger] C:\WINDOWS\System32\msgrsv32.exe
O4 - HKLM\..\RunServices: [win] xwinxrpc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de

Schon mal im Voraus vielen Dank!!!

Cidre · 25.09.2004, 21:28

Hallo,

überprüfe zunächst einmal diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis:

C:\arsetup.exe
C:\WINDOWS\System32\xwinxrpc32.exe
C:\WINDOWS\System32\msgrsv32.exe

papuaneuguinea · 25.09.2004, 21:52

Hab ich gemacht, das Ergebnis sagt mir aber nicht viel.
Danke;

Zu überprüfende Datei: msgrsv32.exe

msgrsv32.exe - packed with PE_Patch.Morphine
msgrsv32.exe - packed with Morphine
msgrsv32.exe - packed with UPX
msgrsv32.exeWarnungen: TrojanProxy.Win32.Ranky.aj

Zu überprüfende Datei: xwinxrpc32.exe

xwinxrpc32.exe - packed with PE_Patch.Morphine
xwinxrpc32.exe - packed with Morphine
xwinxrpc32.exe - packed with UPX
xwinxrpc32.exe Infiziert: Backdoor.Agobot.gen

Zu überprüfende Datei: arsetup.exe

arsetup.exe Infiziert: TrojanDropper.Win32.PurityScan.f

Cidre · 25.09.2004, 22:15

Auf deinen System befinden sich viele Trojaner, unter anderem auch Backdoor Trojaner die einen Fernzugriff auf dein infiziertes System erlauben. Daher solltest du imho zur deiner eigenen Sicherheit einen sauberen Schnitt machen und das System neu aufsetzen, da dies nicht mehr vertrauenswürdig ist.
http://oschad.de/wiki/index.php/Kompromittierung
http://faq.underflow.de/#SECTION000120000000000000000

TrojanProxy.Win32.Ranky.aj => http://www3.ca.com/securityadvisor/v....aspx?ID=38226
Backdoor.Agobot.gen => http://www3.ca.com/securityadvisor/v....aspx?ID=37776
TrojanDropper.Win32.PurityScan.f => http://www.sophos.de/virusinfo/analy...jpurscanf.html

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/sec...ok-config.html oder http://www.datenschutz-bremen.de/tip...riffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

papuaneuguinea · 25.09.2004, 22:37

Hallo Cidre,

Besten Dank für Deine Hilfe. Ich hatte XP schonmal neu installiert. Allerdings war das Problem nach dem ersten Internetzugang wieder da.

Ich versuche es mal mit Deinen Sicherheitshinweisen.
Nochmal Danke und liebe Grüße

25.09.2004, 21:28	#2
Cidre Administrator, a.D.	Biite um HiJackLog Auswertung Hallo, überprüfe zunächst einmal diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis: C:\arsetup.exe C:\WINDOWS\System32\xwinxrpc32.exe C:\WINDOWS\System32\msgrsv32.exe __________________ __________________

Biite um HiJackLog Auswertung

Log-Analyse und Auswertung: Biite um HiJackLog Auswertung