hallo

habe seit gestern wieder internet. und direkt nach dem anschluss fing mein rechner an zu spinnen. und irgendwann geht die cpu auslastung auf 100% und der pc wird so lahm. hab mal in der suche gesehen das folgende progrmme geändert oder gar erstellt worden sind:

windnsd.exe
ftpupd.exe
winole.exe
wcqsrt.exe
qtask.exe
rofl.exe
sys32snd.exe
taskmgr.exe
ihcpnjijgrb.exe


weiß jemand was das für exen sind. ich war auf keiner sex/warez oder sonstig angehauchten site. lediglich google yahoo usw. kann sich irgendein schläfer viren beim erkennen der verbinung ge updated haben???



hier der hijacker:

Logfile of HijackThis v1.97.7
Scan saved at 12:46:53, on 19.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Miramar\PC MACLAN for Windows 2000\ATMsg.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Miramar\PC MACLAN for Windows 2000\ATSERVER.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\windnsd.exe
C:\WINDOWS\System32\sys32snd.exe
C:\WINDOWS\soundman.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\wcqsrt.exe
C:\WINDOWS\System32\qtask.exe
C:\WINDOWS\System32\ihcpnjijgrb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\qtask.exe
C:\WINDOWS\System32\wcqsrt.exe
C:\Dokumente und Einstellungen\xp2\Desktop\anti-shitt\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [Miramar Systems, Inc.] C:\Programme\Miramar\PC MACLAN for Windows 2000\atmsg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\Run: [Windows Compliant] wcqsrt.exe
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\Run: [System Sp2 Patch] ihcpnjijgrb.exe
O4 - HKLM\..\RunServices: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunServices: [Windows Compliant] wcqsrt.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] sys32snd.exe
O4 - HKLM\..\RunServices: [System Sp2 Patch] ihcpnjijgrb.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows DNS Daemon] windnsd.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe
O4 - HKCU\..\Run: [Windows Compliant] wcqsrt.exe
O4 - HKLM\..\RunOnce: [Windows DNS Daemon] windnsd.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - HKCU\..\RunOnce: [Windows DNS Daemon] windnsd.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] sys32snd.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - software-dl.real.com/14daad7b164112eaf016/netzip/RdxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - a840.g.akamai.net/7/840/537/2003120501/housecall.antivirus.com/housecall/xscan53.cab
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - content.netvenda.com/sites/games-intl/de/games5.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37983.7025115741
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



bitte um jede hilfe.. weiß garnicht was ich machen soll.

DANKE

noni

Hallo noni,
dein Logfile sieht leider gar nicht gut aus. Du hast einige Backdoorprogramme auf deinem System,
d.h. dass es höchstwahrscheinlich schon kompromittiert ist, wodurch ein Neuaufsetzen unerlässlich ist.
Zudem sind weder Betriebssystem noch Internetexplorer auf dem neusten Stand.
Trotzdem solltest du um sicherzugehen vorher eScan im abgesicherten Modus ausführen und die
gefundenen Viren ins Forum übertragen. Zusätzlich nochmal ein HijackThis Logfile mit der aktuellen Version 1.98.2

Zitat:

Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

hi

OK sieht ganz danach aus als müsse ich alles neudraufsetzen werde dies auch tun aber mit einem router,sp2,mozilla firefox und thunderbird!!

ich habe nun eine frage .. wie sichrere ich die daten??

hatte gedacht laptop anschließen per netzwerk kabel und dann die daten die ich brauche dort übertragen. Aber befallen dann diese trojaner/viren/backdoor bots nicht auch den laptop?

ich kann nicht alle daten brennen da brenne ich bis nimmerleinstag!!

können sich die viren auch in ganz normale dateien wie programm exen oder photoshop dateien reingeschrieben haben??

wie komme ich an die daten herran ohne die viren auch gleich mitzunehmen??

bitte um jede hilfe. danke

noni

Hallo noni,

hier ein Beitrag zur Datensicherung von Lutz.

SD

hallo, kann mir auch jemand helfen
gleiches problem
hier mein log file

Logfile of HijackThis v1.98.2
Scan saved at 12:43:31, on 17.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ccproxy.exe
c:\windows\system32\sm.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\dllcache\secure32\spool.exe
C:\WINDOWS\System32\QuicktimeMngr.exe
C:\WINDOWS\System32\SndMon32.exe
C:\WINDOWS\System32\windbg.exe
C:\WINDOWS\System32\sysrestore.exe
C:\WINDOWS\System32\MsIntSrv.exe
C:\WINDOWS\System32\winsnd32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\System32\servenxt.exe
C:\WINDOWS\m.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\mp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\MARK~1.GES\LOKALE~1\Temp\Rar$EX00.287\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zapro.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SYSTEM] scvhost.exe
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\Run: [Windows Debugger] windbg.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [MSN Updater] msnms.exe
O4 - HKLM\..\Run: [Windows AdTools] C:\Program Files\Windows AdTools\WinAdTools.exe
O4 - HKLM\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [blah service] servenxt.exe
O4 - HKLM\..\Run: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM\..\Run: [REERGRUNRNT] C:\WINDOWS\m.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [REGRUNSB] C:\WINDOWS\mp.exe
O4 - HKLM\..\RunServices: [Windows SYSTEM] scvhost.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKLM\..\RunServices: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunServices: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunServices: [issEnc32Svr] issEnc32.exe
O4 - HKLM\..\RunServices: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [MSN Updater] msnms.exe
O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\RunServices: [blah service] servenxt.exe
O4 - HKLM\..\RunServices: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] winsnd32.exe
O4 - HKLM\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKLM\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKLM\..\RunOnce: [MS SyS Restore] sysrestore.exe
O4 - HKLM\..\RunOnce: [Microsoft Int Service] MsIntSrv.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\Run: [Windows Sound Manager] SndMon32.exe
O4 - HKCU\..\Run: [Windows Debugger] windbg.exe
O4 - HKCU\..\Run: [MSN Updater] msnms.exe
O4 - HKCU\..\Run: [MS SyS Restore] sysrestore.exe
O4 - HKCU\..\Run: [Microsoft Int Service] MsIntSrv.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunOnce: [MS SyS Restore] sysrestore.exe
O4 - HKCU\..\RunOnce: [Windows Debugger] windbg.exe
O4 - HKCU\..\RunOnce: [Microsoft Int Service] MsIntSrv.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] winsnd32.exe
O4 - HKCU\..\RunOnce: [QuicktimeMngr] QuicktimeMngr.exe
O4 - HKCU\..\RunOnce: [Windows Sound Manager] SndMon32.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - (no file)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103009402674
O17 - HKLM\System\CCS\Services\Tcpip\..\{262D6F20-5714-42ED-BA35-A00E15EFF208}: Domain = uni-duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{262D6F20-5714-42ED-BA35-A00E15EFF208}: NameServer = 134.91.4.150,134.91.1.150
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = uni-duisburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = uni-duisburg.de

@Frustee
für dich gilt genau das gleich wie für noni (eScan kannst du dir schenken). Auch bei dir sind viele Backdoors aktiv, was ein erneutes Aufsetzen unerlässlich macht. Dabei nach dieser Anleitung vorgehen.
Lutz über Datensicherung
Pflichtlektüre