Hallo zusammen.

Folgendes Problem denke ich habe irgende ein Wurm weil ich unglaubliche lags beim SUrfen bzw onlinespielen habe

Hier mein LOG:

--------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 12:11:39, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll


Gibt es sonst irgendwelche Tools mit denen man alles prüfen kann ausser Ad ware ?

thx fürs anschauen
gruß Elb

Hi Elb

Dieser Prozess müste eigentlich im System32 ordner laufen .
C:\WINDOWS\system\svchost.exe

Lad dir escan runter und scanne deinen pc im abgesicherten modus.
ftp://ftp.microworldsystems.com/download/tools/mwav.exe

die datei nach c:\bases entpacken und mit kavupd updaten

dann in den abgesicherten modus gehen und den scan mit mwavscan starten.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Hi Zero
also habe den scann gemacht denke habe ein Grund um besorgt zu sein

--------------------------------------------------------------------------

Tue Nov 16 14:14:44 2004 => File C:\WINDOWS\system\svchost.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:14:58 2004 => File C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:01 2004 => File C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:36 2004 => File C:\DOKUME~1\Elb\LOKALE~1\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:16:36 2004 => File C:\DOKUME~1\Elb\LOKALE~1\Temp\VVT.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:17:01 2004 => File C:\DOKUME~1\Elb\LOKALE~1\TEMPOR~1\Content.IE5\O7N2S7A7\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:18:21 2004 => File C:\Dokumente und Einstellungen\Elb\Lokale Einstellungen\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:18:28 2004 => File C:\Dokumente und Einstellungen\Elb\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O7N2S7A7\prompt[1].htm infected by "Trojan-Downloader.JS.IstBar.b" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:36:57 2004 => File C:\WINDOWS\system\svchost.exe infected by "Trojan-Downloader.Win32.Small.aan" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:38:42 2004 => File C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

Tue Nov 16 14:39:08 2004 => File C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus. Action Taken: No Action Taken.

--------------------------------------------------------------------------

Hmm falls jemand das ganze log fiel beötig kann ich es schnell irgendwo uploaden


Könnte mir vielleicht jemand ein gratis firewall sagen die gut ?

Hallo Elb,

es sieht so aus, als sei auf Deinem System ein sehr neuer Trojaner zu finden, den ich nirgends erklärt finde. Ich möchte aber wissen, was dieser Trojaner genau ist und was er bewirkt, bevor ich Dir dazu einen Rat geben kann.

Sende bitte diese Dateien:

C:\WINDOWS\UpdateXp.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.
C:\WINDOWS\system32\save.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.
C:\DOKUME~1\Elb\LOKALE~1\Temp\UdpFloodV2.exe infected by "Trojan-Spy.Win32.Getmail.f" Virus.

passwortgeschützt an detections@spybot.info und partytime-germany.ice@web.de zu Forschungszwecken, mit Hinweis auf diesen Thread und mit Hinweis auf diesen Virus "Trojan-Spy.Win32.Getmail.f".

Warte bitte das Ergebnis der Prüfung ab, das heisst, schau ab und an hier in diesen Thread.

Zu Firewalls ---> bitte lesen: Firewall - Rubrik

SD

so mail ist weg mal schauen was passiert

Bei partytime sind die Dateien gekommen.
Danke.

Lösche die gefundene Malware im abg. Modus.

Danach poste mal ein neues HijackThis-Log.

hmm

@*Christian*

np immer gern für Leute die sich mit sowas befassen.


was eminst du mit Malaware löschen ?

Also im abg.Modus ist klar aber was soll ich da löschen und wie?

a.) Die 3 Dateien die Infieziert sind ganz normal rauslöschen

oder

b.) die Dateien mit esacn löschen was imho nicht geht weil es ja keine vollversion ist

bitte gib mir eine ein wenig exaktere beschreibung will, nichts kaputt machen bzw. habe ein widerherstellungspunkt gleich nach der win installation ohne treiber und programme aber kA ob das die trojaner auch verschwinden lässt.

gruß Elb

Verfahre nach der Variante a)

thx für klärung

und bitte schön


------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 02:13:39, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

--------------------------------------------------------------------------
gruß Elb

Hallo Elb,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Windows Xp Service Pack 2] C:\WINDOWS\system\svchost.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

beende:
C:\WINDOWS\system\svchost.exe

lösche:
C:\WINDOWS\system\svchost.exe

boote in den normalen Modus.

die noch verbleibenden Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre)

Einträge unter "not-a-virus:Tool.Win32.Reboot." brauchen nicht gelöscht zu werden.

Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD

also mal thx

anweisungen würden ausgeführt

-------------------------------------------------------------------------


Logfile of HijackThis v1.98.2
Scan saved at 14:34:38, on 17.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Teamspeak2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Elb\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] C:\Valve\Steam\Steam.exe -silent
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

--------------------------------------------------------------------------

hoffe nun passt alles

gruß Elb

Hallo Elb,

--w-O-w-- .. ein lupenrein sauberes Logfile .. gratuliere!
Sorg dafür, dass es so bleibt.

Denk über einen Browserwechsel nach und lies Dich hier ein:

- Vorbeugende Maßnahmen
- Entfernungs-Tools
- IE sicher konfigurieren und Browser-Sicherheit
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- www.mathematik.uni-marburg.de

Viel Erfolg weiterhin!
SD

he he es liegt sicher nicht am browser weil ich Opera 7.2 verwende immer neuestes updats!!!!


@ Shadowdance

thgx für die links das einzige was ich brauch ist ein gute kostenlose Firewall

gruß und big THX Elb

Hallo Elb,

zu Firewalls bitte lesen: --> Firewall - Rubrik - ausserdem ist bei XP eine Firewall integriert. Nutze diese.

SD