Hi Leute!

Ich brauche eure Erfahrung und Unterstützung.
Habe schon mehrere Versuche gestartet meinen Rechner mit HijackThis und diversen anderen Methoden (abgesicherter Modus usw.) zu säubern. Ich werde aber eine bestimmte Seuche einfach nicht los, und zwar istsvc.exe , verbindet sich mit slotch.com.

Ich poste hier mal mein Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\MSOffice\services.exe
D:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\jilxyina.exe
C:\Programme\ISTsvc\istsvc.exe
D:\Programme\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

...übrigens ist es mit xxxtoolbar der gleiche Mist.
Ich warte auf eure Vorschläge.

Vielen Dank schonmal!

Gruß
dave

Bitte poste ein komplettes Log (der "Kopfteil" fehlt)

Überprüfe auch mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\MSOffice\services.exe
C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe

Zitat:

Zitat von Haui45

Bitte poste ein komplettes Log (der "Kopfteil" fehlt)

...hier also nochmal der komplette Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:38:57, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\MSOffice\services.exe
D:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
D:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\jilxyina.exe
C:\Programme\ISTsvc\istsvc.exe
D:\Programme\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] D:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

Dein System ist nicht gepatcht. Aktuell ist SP2 => www.windowsupdate.com besuchen und SP2 runterladen.

Zitat:

Zitat von Cidre

Überprüfe auch mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\MSOffice\services.exe
C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe

so, hier ist die Auswertung von services.exe:

File: services.exe
Status:
INFECTED/MALWARE
Packers detected:
UPX

AntiVir
No viruses found (1.29 seconds taken)
Avast
No viruses found (4.60 seconds taken)
BitDefender
BehavesLike:Trojan.Downloader (probable variant) (3.10 seconds taken)
ClamAV
No viruses found (2.91 seconds taken)
Dr.Web
Trojan.DownLoader.861 (4.63 seconds taken)
F-Prot Antivirus
No viruses found (0.56 seconds taken)
Kaspersky Anti-Virus
TrojanDownloader.Win32.Agent.eb (probable variant) (4.45 seconds taken)
mks_vir
No viruses found (2.40 seconds taken)
NOD32
No viruses found (9.54 seconds taken)
Norman Virus Control
Sandbox: W32/Downloader; [ General information ]

* File length: 32772 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe.

[ Network services ]
* Looks for an Internet connection.
* Opens URL: http://www.newiframe.biz/gamma.exe.

[ Security issues ]
* Starting downloaded file - potential security problem.

[ Process/window information ]
* Attemps to open C:\WINDOWS\SYSTEM\ÙÙÙÙÙÙÙÙ.exe NULL. (5.12 seconds taken)

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Dein System ist nicht gepatcht. Warum wurde dies vernachlässigt?

Was ergab die Überprüfung?

Hi Cidre,

meinst du, warum ich den SP2 nicht drauf habe?....naja, vielleicht sollte ich das mal machen, aber ich habe eher negatives darüber gehört, als positives. ;-)
hier ist die auswertung von quQh.exe:

File: quQh.exe
Status:
INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected:
None

AntiVir
TR/Stomcc.3 (8.40 seconds taken)
Avast
No viruses found (11.29 seconds taken)
BitDefender
No viruses found (12.76 seconds taken)
ClamAV
No viruses found (21.70 seconds taken)
Dr.Web
Trojan.StatBlasterAd (23.86 seconds taken)
F-Prot Antivirus
No viruses found (1.76 seconds taken)
Kaspersky Anti-Virus
not-a-virus:AdWare.WinFetcher.b (22.88 seconds taken)
mks_vir
No viruses found (12.59 seconds taken)
NOD32
No viruses found (11.81 seconds taken)
Norman Virus Control
No viruses found (37.22 seconds taken)

Zitat:

meinst du, warum ich den SP2 nicht drauf habe?

Ja, aber auch das SP1, sowie weitere sicherheitsrelevante Patches wurden von dir nicht installiert! Durch dieses Verhalten schaffst du einen Nährboden für Malware.

Lade eScan AntiVirus

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - (no file)
O4 - HKLM\..\Run: [MSOffice] C:\WINDOWS\System32\MSOffice\services.exe
O4 - HKLM\..\Run: [quQh] C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe
O4 - HKCU\..\Run: [Ttct] C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab

Lösche diese Dateien:
C:\Dokumente und Einstellungen\Krisz\Anwendungsdaten\spcl.exe
C:\WINDOWS\System32\MSOffice\services.exe
C:\dokumente und einstellungen\krisz\lokale einstellungen\temp\quQh.exe
C:\WINDOWS\System32\jilxyina.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- neues Log-File von HijackThis und die Virus Log Information von eScan posten