Ich habe seit einiger Zeit LSass draufgehabt ....hat mich nie gestört habe mein sys neu aufgearbeitet vor ungefähr 3 Wochen war dann auf einer gewissen Seite wo dann das Unheil seinen lauf nahm...... 5 Dialer auf dem Desktop
und des weiteren wurde mein Explorer manipuliert Internet & der normale halt
nach diversen updates von microsoft ging alles noch mehr den PC-Tot über, habe mir dann Kaspersky zur Brust genommen der dann wiederum meinen PC zur gecheckt hat.......
4 Viren 5 Trojaner und etliche würmer die sich durch meine Daten fressen oder viel mehr wollten eine Internetbar und etliche Seiten die man sich gerne anschaut wenn sie doch nicht so aufdringlich währen .... wenn ich mein log jetzt hier einbringe geht bitte nicht auf diverse Anwendungen ein die ein fast jeder nutzt sondern nur auf die die da nicht reingehöhren.
Verbindlichsten Dank

Snack und hier mein log:
Logfile of HijackThis v1.97.7
Scan saved at 22:13:16, on 27.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\cFos\cFosDNT.exe
C:\WINNT\system32\dla\tfswctrl.exe
E:\eMule\emule.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Snack\Desktop\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll (file missing)
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [dla] C:\WINNT\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [mspd] C:\WINNT\system32\mspd.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winpls32.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] E:\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

Was da nicht hingehört?
das z.B.

Zitat:

O4 - HKCU\..\Run: [Systesms.exe] Systesms.exe

das scheint der hier zu sein.
Scanne mal zur Sicherheit deinen PC mit eScan im abgesicherten Modus und poste was gefunden wurde.

also wenn ich so viel müll wie du drauf hätte, würde ich mir mal gedanken machen...
bist du ohne virenscanner gesurft? vielleicht noch auf porno- oder warez-seiten?
bei soviel zeug würde ich empfehlen, das system neu aufzusetzen, da es oft nicht möglich ist, alle malware 100%ig zu entfernen.

dazu solltest du folgendes beachten:

Zitat:

Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

und zu deinem hijack-this-log:

lade dir die aktuelle version hier herunten, falls du trotzdem noch an einer auswertung interessiert bist.

Hier downloaden...

Hi,
im abgesicherten Modus folgendes fixen:
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll (file missing)
O2 - BHO: (no name) - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [Systesms.exe] Systesms.exe
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winpls32.exe
O4 - HKLM\..\RunServices: [Systesms.exe] Systesms.exe
O4 - HKCU\..\Run: [Systesms.exe] Systesms.exe
O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab

Folgende Dateien manuell löschen:
C:\WINNT\Downloaded Program Files\rundlg32.dll (file missing)
C:\WINNT\EliteToolBar\EliteToolBar version 53.dll
C:\winnt\system32\winpls32.exe

Wen Dir nicht bekannt, ebenfalls fixen:
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

Deine "Systesms.exe" ist das da,
ein Wurm mit backdoorqualitäten....
Ich empfehle Dir jedenfalls einen eScan
durchzuführen und dann wieder hier rein posten.
Gruß cacatoa

Ich Habe Norton Utilities drauf und nie probs gehabt.....gehe doch nicht "ungeschützt" ins internet aber das ist mir wirklich noch nicht passiert bin ein permanent surfer der behutsam mit seinen daten umgeht... muss ich jetzt mein sys wirklich neu aufsetzen?

[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:56:968 :ModuleName = C:\Dokumente und Einstellungen\Snack\Desktop\Neuer Ordner\mwavscan.com
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:56:984 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:57:562 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:57:562 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:57:562 :TimeOut : ffffffff
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:57:562 :Priority : NORMAL
[msvLclnt.dll] [0x000001e8] 27/10/2004 23:35:57:859 :VirusCount = 102803 Latest Date = 2004/11/01
[msvLclnt.dll] [0x0000013c] 28/10/2004 00:50:14:546 :[00000001] File H:\crack\ls_amsr30.zip infected by TrojanSpy.Win32.Briss.j
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:37:390 :ModuleName = C:\Dokumente und Einstellungen\Snack\Desktop\Neuer Ordner\mwavscan.com
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:37:390 :Registry Key Deleted Properly!!!
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:38:156 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:38:171 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:38:171 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:38:171 :Priority : NORMAL
[msvLclnt.dll] [0x00000140] 28/10/2004 11:41:38:546 :VirusCount = 102805 Latest Date = 2004/11/01

Ich hoffe das war der richtige log ...!

mach mal bitte das
Zitat von Shadowdance:

Zitat:

..."Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forumübertragen...

Wed Oct 27 23:45:27 2004 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav

mehr gibt es nicht.... kein weiterer treffer

Das ist nie und nimmer alles vom eScan Logfile.
Nochmal eScan im abgesicherten Modus, dann an die Anweisung von Shadowdance halten und neu reinposten.
Oder bin ich jetzt doof?
cacatoa

Zitat:

Oder bin ich jetzt doof?

Nein glaub nicht
Da müsste viel mehr gefunden worden sein.

@HAUI45:
Danke!

Habe mich im Forum schlau gemacht und halt a bissle gelesen und habe diverse dateien im autostart mittels hijack gelöscht er läuft dennoch nicht rund, lahmt mehr als mein 486er damals mit win98 also werde ich wohl mein sys am WE neu aufsetzen und endlich mal ghosten (das hab ich bei den letzten mal auch gesagt aber diesmal bestimmt.....) danke für eure hilfe komm bestimmt öfter vorbei um euch evt. bei anderen Fragen zu helfen.... naja man lernt nie aus.

bis dennsen
Snack

P.S. wurde hier das erste mal belehrt das es noch hartnäckigere Viren gibt als angenommen also bis dahin

Wenn du formatierst kann dir diese Anleitung oder die, die von Wattewuschel zitierte wurde hilfreich sein.

@Haui45 ja danke für die anleitung ...habe mir schon firefox aufgespielt da ich mit dem I.Explorer nichts mehr gross anfangen konnte...
kurze Geschichte zu einem Freund.: er war ohne firewall & Antivirus im Inet und das schon seit einem jahr er hat nur das internet genutzt kam dann mit einmal nicht mehr auf arbeitsplatz und ähnliche anwendungen....er fragte mich was er wohl machen könnte. Ich habe ihn erst mal eine firewall installiert und Kapersky die trial für 30 tage runtergeladen das krasse an der geschichte ist, bei 40% untersuchte er einen Ordner ich glaube es war irgendein ordner mit javabababa (keine ahnung) und sagte lass den mal Spassenshalber laufen um mal sehen wieviel Dateien Infiziert sind (Aufgefallen war ein ....W32.dp oder so) der Virus oder Wurm wie auch immer, desinfizierte alle mgl dateien in dem ordner und der Virus muss wohl die desinfizierten wieder Infiziert haben denn der Scan ging nie aus dem ordner raus nach rund 250 000 gefundenen rief er mich an und sagte komm doch noch mal vorbei ich glaub ich kanns vergessen.

naja das zum schluss byby