Hallo,

bin neu hier und habe mich in den letzten stunden etwas hier eingelesen.
habe einige probleme mit trojanern (evtl auch spyware) auf meinem rechner.

dabei sind z.b. 180searchassistant, tv media, und wohl auch noch einigen anderen. ad aware bzw. spybot laufen lassen.

hier das HijackThis logfile

Logfile of HijackThis v1.98.2
Scan saved at 00:44:07, on 23.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system32\saie.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll
O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-ABCD-8D32436323D9} - C:\WINDOWS\bxxs5.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: SDWin32 Class - {9F7045B3-B3A8-48B5-93F7-811D3B9E8F9B} - C:\WINDOWS\System32\qqwuc.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Security Management] winamp.exe
O4 - HKLM\..\Run: [bxxs5] RunDLL32.EXE C:\WINDOWS\bxxs5.dll,DllRun
O4 - HKLM\..\Run: [qqwucc] C:\WINDOWS\System32\qqwucc.exe
O4 - HKLM\..\Run: [saie] c:\windows\system32\saie.exe
O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Microsoft Security Management] winamp.exe
O4 - HKLM\..\RunServices: [Networks Controler] NetSis.exe
O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe
O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098468617492
O17 - HKLM\System\CCS\Services\Tcpip\..\{18CC78E4-190F-459D-ADE8-3B3001E1F2BD}: NameServer = 217.237.149.225 217.237.151.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{18CC78E4-190F-459D-ADE8-3B3001E1F2BD}: NameServer = 217.237.149.225 217.237.151.97

hoffe ihr könnt mir vielleicht helfen was davon alles auf trojaner, viren, o. ä.
hindeutet


vielen dank schonmal im vorraus


gruß

Bitte folgendes durchführen:

Zitat:

Zitat von Shadowdance

Lade den eScan (Anweisung beachten!) runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus (Link beachten!) aus.

Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!"

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden.

SD

hi

hier dein logfile automatisch ausgewertet

bitte alle *exe einträge (böse oder unbekannt) mit Kaspersky (onlinscan) überprüfen.

wird hier eine schadsoftware festgestellt, den eintrag mit dem taskmanager beenden und die datei mit dem windows-explorer suchen und löschen.

Onlinscan mit housecall durchführen/bereinigen lassen

Die Systemwiederherstellung deaktivieren, nachsehen, ob wirklich kein swh-punkt mehr vorhanden ist ( man muss eventuell den rechner neustarten), swh wieder einschalten (aktivieren)

dann spybot s&d sowie adaware downloaden und ein update durchführen, in den abgesicherten modus wechseln (beim Hochfahren die Taste F8 drücken) scannen und bereinigen

nun nochmals hjt starten, es sollte nun keine bösen *exe(n) geben, wenn doch, vorgang der unter kaspersky beschrieben ist wiederholen (bzgl. datei beenden usw.) und nun alle R1 bis 017 einträge nach anleitung fixen.

SWH wiederholen

Hallo cifer2003,

ich gehe davon aus, dass Du etliche Malware auf Deinem System hast und unterstütze den Rat von Lidius, Dein System mit eScan entsprechend der geposteten Anweisung zu überprüfen. Bitte gib das Ergebnis der Untersuchung in diesen Thread.

Löschen von Malware allein genügt nicht, wenn ein System kompromittiert ist, vergleiche hierzu: Tips. Anhand des Ergebnisses des eScan können wir erkennen, wozu wir Dir raten können oder müssen.

Arbeite bitte das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe Deinen Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "180searchassistant-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

also hier erstmal die mit escan gefundenen unregelmäßigkeiten

Sun Oct 24 12:21:18 2004 => File C:\windows\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:21:18 2004 => File c:\windows\system32\saiehook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:21:28 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Sun Oct 24 12:21:28 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Sun Oct 24 12:21:29 2004 => File c:\windows\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:21:41 2004 => File C:\WINDOWS\bxxs5.dll infected by "not-a-virus:AdvWare.BookedSpace.c" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:21:46 2004 => File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:21:47 2004 => Result: ERROR!!! File C:\WINDOWS\SchedLgU.Txt: Scanning Failure!!!
Sun Oct 24 12:21:47 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\SchedLgU.Txt
Sun Oct 24 12:21:50 2004 => Result: ERROR!!! File C:\WINDOWS\WindowsUpdate.log: Scanning Failure!!!
Sun Oct 24 12:21:50 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\WindowsUpdate.log
Sun Oct 24 12:23:11 2004 => File C:\WINDOWS\system32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:09 2004 => File C:\WINDOWS\system32\NetSis.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:22 2004 => *** File C:\WINDOWS\system32\oembios.bin having Size Restriction ***
Sun Oct 24 12:24:34 2004 => File C:\WINDOWS\system32\qqwucc.exe infected by "not-a-virus:AdvWare.Adstart.b" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:43 2004 => File C:\WINDOWS\system32\saie.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:43 2004 => Result: ERROR!!! File C:\WINDOWS\system32\saie.log: Scanning Failure!!!
Sun Oct 24 12:24:43 2004 => ERROR!!! ScanFile fails for C:\WINDOWS\system32\saie.log
Sun Oct 24 12:24:44 2004 => File C:\WINDOWS\system32\saiehook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:49 2004 => *** File C:\WINDOWS\system32\shell32.dll having Size Restriction ***
Sun Oct 24 12:25:02 2004 => File C:\WINDOWS\system32\stcloader.exe infected by "Trojan.Win32.SecondThought.av" Virus. Action Taken: No Action Taken.

Hallo cifer2003,

ich hab' das befürchtet, als ich Dein Logfile sah:

Zitat:

Sun Oct 24 12:23:11 2004 => File C:\WINDOWS\system32\IExplore32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.
Sun Oct 24 12:24:09 2004 => File C:\WINDOWS\system32\NetSis.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Backdoor.Win32.Rbot.gen-> bitte die "Erläuterung" beachten.

"Backdoor.Win32.Rbot.gen' ist ein Wurm, der anderen Netzteilnehmern Fernzugriff auf Deinen Rechner erlaubt. Das System Deines Rechners ist kompromittiert. Solltest Du online-banking oder andere wichtige Dinge auf Deinem Rechner erledigen, kann es sein, dass ein anderer Dir dabei in den Rechner schaut ... und alles ausspioniert, was sich auf Deinem Rechner tut. Die Einträge, die dieser Wurm im System hinterläßt sind für Laaien nicht erkennbar und nur sehr schwer zu beseitigen. Dein Rechner ist nicht nur für Dich selbst ein Risiko sondern auch für andere Netzteilnehmer. Wir empfehlen daher das System zu formatieren und neu aufzusetzen: 10 Punkte beachten.

MfG
SD

Hallo, cifer2003,
hamwa auch noch den hier drauf.
Somit wird es immer wahrscheinlicher, daß Du leider den Rat von Shadowdance befolgen mußt!
cacatoa

...mist.........

...keine andere möglichkeit das system zu bereinigen.......???

Zitat:

keine andere möglichkeit das system zu bereinigen

Nein,
siehe auch
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung