Probleme eines Newbies

thegreyest · 07.10.2004, 05:47

hallo forum,
bin neu hier und erhoffe mir hilfe;
habe dsl, eine firewall und benutze ad-aware & anti-vir zum scannen;
hatte wohl einen wurm, svchost.exe wurde ständig aufgerufen.habe zig' scans gemacht, online, offline irgendwann trat das problem nicht mehr auf. nun gehe ich aber online und nach einer gewissen zeit (2-4 std) bin ich offline und komme auch ohne neu booten nicht mehr rein.
wer kennt so etwaas, wer hat ahnung ????
ich danke euch für eure hilfe
the greyest

Shadowdance · 07.10.2004, 06:21

Hallo thegreyest,

lade Dir bitte Hijack This runter, erstelle damit ein Logfile - laut Anleitung - und poste es mittels copy&paste hier in Deinen Thread: http://www.trojaner-board.de/51130-a...ijackthis.html

SD

thegreyest · 07.10.2004, 16:43

hei SD,
und wieder komme ich nach Hause und es funzt nicht,
danke für dein Hilfeangebot, hier das Log;

Logfile of HijackThis v1.97.7
Scan saved at 17:35:16, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\burn\Ahead\InCD\InCDsrv.exe
D:\internet\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\internet\cFosSpeed\cFosSpeed.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signin.ebay.de/ws2/eBayISAPI....&pageType=1883
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\internet\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmcService] D:\internet\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosSpeed] D:\internet\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096651001921
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBB04110-CACE-488B-A822-7F7EED426DF3}: NameServer = 217.237.150.97 217.237.149.161

wäre klasse wenn Hilfe möglich
thx tg

07.10.2004, 17:32

Bitte benutze die aktuelle Version von HijackThis: 1.98.2

Cidre · 07.10.2004, 17:33

Hallo,

lade und scanne mit eScan AntiVirus wie beschrieben.
Die Virus Log Information von eScan AntiVirus posten:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

btw: Das Log-File ist offensichtlich sauber, aber das hat nichts zu bedeuten. Möglicherweise schlummert der Wurm noch auf deiner Festplatte.

thegreyest · 07.10.2004, 17:41

Zitat:

Zitat von *Christian*

Bitte benutze die aktuelle Version von HijackThis: 1.98.2

MEA CULPA (ich esel *g*)

Logfile of HijackThis v1.98.2
Scan saved at 18:40:38, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
d:\burn\Ahead\InCD\InCDsrv.exe
D:\internet\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
D:\internet\cFosSpeed\cFosSpeed.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\zubehör\totalcmd\TOTALCMD.EXE
D:\internet\Emule\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signin.ebay.de/ws2/eBayISAPI....&pageType=1883
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\internet\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmcService] D:\internet\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [cFosSpeed] D:\internet\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [OEM Tools 32] tres32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] REM d:\burn\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] REM d:\burn\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096651001921
O17 - HKLM\System\CCS\Services\Tcpip\..\{B446344E-D909-4A62-9D0C-A21C6C79A4A7}: NameServer = 217.237.150.97 217.237.149.161

so jetzt aber ;-D
tg

07.10.2004, 17:44

Dies würde ich fixen:

O4 - HKLM\..\Run: [Starting up] wvsvc.exe
O4 - HKLM\..\Run: [OEM Tools 32] tres32.exe

thegreyest · 07.10.2004, 17:45

hei christian,

besten Dank i'll try it und melde mich

thx tg

thegreyest · 07.10.2004, 17:47

[QUOTE=Cidre]Hallo,

lade und scanne mit eScan AntiVirus wie beschrieben.

auch ein hei Cidre,

das hat e-scan gefunden:

File C:\WINDOWS\System32\vpc32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

backdoor hört sich schon übel an ;-(

wen du weisst was ich machen kann ?!
thx tg

Cidre · 07.10.2004, 17:50

Schau dir diesen Link mal an und entscheide selbst:
http://www.trojaner-board.de/showpos...96&postcount=9

thegreyest · 07.10.2004, 17:56

uiuiuiiiiiiiii,

dann wirds mir am wochenende ja nicht langweilig ;-(

eines muss ich sagen; ihr seid schnell und absolut freundlich

thx tg

Cidre · 07.10.2004, 18:44

Stellvertretend:
Vielen Dank für das Kompliment.

thegreyest · 09.10.2004, 13:31

sooooo, habe nun alles neuinstalliert und möchte ein image machen ;-D

was haltet ihr nun von meinem log ?????

Logfile of HijackThis v1.98.2
Scan saved at 14:29:09, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\burn\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
d:\internet\AVPersonal\AVGUARD.EXE
d:\internet\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\internet\AVPersonal\AVGNT.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
D:\internet\Zone Labs\ZoneAlarm\zlclient.exe
D:\internet\cFosSpeed\cFosSpeed.exe
C:\WINDOWS\System32\rmctrl.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Logitech\SetPoint\kem.exe
C:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Logitech\SetPoint\MediaPlayerMgr.exe
D:\burn\Ahead\Nero\nero.exe
C:\WINDOWS\System32\imapi.exe
D:\internet\mp3tool\mp3tool.exe
C:\WINDOWS\System32\burst.dll
D:\zubehör\totalcmd\TOTALCMD.EXE
D:\Neue Programme\Tune\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://signin.ebay.de/ws2/eBayISAPI....&pageType=1883
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "d:\internet\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [Zone Labs Client] "d:\internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PtiuPbmd] Rundll32.exe ptipbm.dll,SetWriteBack
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Mobile Phone Suite] REM C:\Programme\Logitech\Mobile Phone Suite\MobilePhoneSuite.exe -nogui
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [cFosSpeed] D:\internet\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [InCD] REM d:\burn\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] d:\burn\CloneCD\ElbyCheck.exe /L ElbyCDFL
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097307494814
O17 - HKLM\System\CCS\Services\Tcpip\..\{0674AB72-3A89-487C-A551-EA4FD018BE71}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{0674AB72-3A89-487C-A551-EA4FD018BE71}: NameServer = 217.237.150.97 217.237.149.161

ist es sauber ??????

thx tg

Cidre · 09.10.2004, 13:50

Sieht sauber aus.

thegreyest · 09.10.2004, 16:06

dann noch einmal ein riiiiiiiiieeeeesengroßes DANKE SCHÖN !!!
nice weekend tg

07.10.2004, 17:32	#4
Christian Gast	Probleme eines Newbies Bitte benutze die aktuelle Version von HijackThis: 1.98.2

07.10.2004, 17:44	#7
Christian Gast	Probleme eines Newbies Dies würde ich fixen: O4 - HKLM\..\Run: [Starting up] wvsvc.exe O4 - HKLM\..\Run: [OEM Tools 32] tres32.exe

07.10.2004, 17:50	#10
Cidre Administrator, a.D.	Probleme eines Newbies Schau dir diesen Link mal an und entscheide selbst: http://www.trojaner-board.de/showpos...96&postcount=9 __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

07.10.2004, 18:44	#12
Cidre Administrator, a.D.	Probleme eines Newbies Stellvertretend: Vielen Dank für das Kompliment. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

09.10.2004, 13:50	#14
Cidre Administrator, a.D.	Probleme eines Newbies Sieht sauber aus. __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Probleme eines Newbies

Plagegeister aller Art und deren Bekämpfung: Probleme eines Newbies