Vornweg: Windows XP Home SP1, IE 6 SP1,
Leider keine Sicherheitsupdates, keine Firewall

Logfile of HijackThis v1.97.7
Scan saved at 15:35:56, on 16.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe
C:\WINDOWS\System32\SFAX_NT.EXE
C:\WINDOWS\System32\WSconf.exe
C:\WINDOWS\System32\glavas.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme 2\Ulead Systems 2\CalCheck.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Microsoft Office\Office10\Winword.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Win32App\NTTools\NFileMgr\FILEMGR.EXE
c:\Programme 2\Sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.de.netscape.com/de/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.de.netscape.com/de/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWay\SearchAt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Find - {8D029AEC-E412-4948-84B5-699A740946AE} - %SystemRoot%\System32\iefind.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Way Speedbar - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWay\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~2\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HP OfficeJet T Series] "C:\Programme\Hewlett-Packard\HP OfficeJet T Series\bin\ktchnsnk.exe" -reg "Software\Hewlett-Packard\OfficeJet T Series\Install"
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MyWay\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [SkyFile Monitor] C:\WINDOWS\System32\SFAX_NT.EXE
O4 - HKLM\..\Run: [Microsoft Drivers] WSconf.exe
O4 - HKLM\..\Run: [blah service] glavas.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe
O4 - HKLM\..\RunServices: [blah service] glavas.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TClockEx] C:\Dokumente und Einstellungen\D\Startmenü\Programme\Autostart\TClock\TCLOCKEX.EXE
O4 - HKCU\..\Run: [euroat.exe] C:\Programme 2\Alpenland\Euro + @\euroat.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Startup: Verknüpfung mit TCLOCKEX.lnk = C:\TClock\TCLOCKEX.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\Programme 2\Brockhaus\PCLib.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme 2\Ulead Systems 2\CalCheck.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.6.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/eng/check/qdiagh.cab?312



Das wird jetzt etwas umfangreich jedoch wollte ich alle
Details gleich mit schildern.


Hallo, nach einer längeren Reise, auf der ich den Laptop
mit dabei hatte, wollte ich zu Hause wieder mal "normal"
mit Modem ans Internet. Ansonsten ging das nur mit
Skyfile und nur schnell mails abholen.

Anfangs keine Probleme, auch das Abholen der aktuellen
Virendefinitionen von Antivir klappte noch super.

Kurze Zeit später meldete Antivir XP, dass
C:\\windows\system32\Sygate.exe Worm/Rbot.210944
enthält und die wurde dann gelöscht. Auch noch irgendwo
Worm/Rbot.MM.2 usw.

Danach ging dann irgendwie im Interne gar nichts mehr, das
Aufrufen des IE bewirkte zwar das Herstellen einer
Modemverbindung mit freenet, doch surfen und Outlook mailen
war nicht mehr möglich. "Die Seite kann nicht angezeigt werden",
"Der Server POP3hat nicht innerhalb von 60 Sekunden reagiert..."
Auch das Abrufen der Virendefinitionen ging nicht mehr. Jedoch
ping www.heise.de ging ohne Probleme.

Danach auf Anraten eines Freundes den aktuellen Stinger im
abgesicherten Modus drüber gejagt, der hat dann auch noch
2 Würmer gekillt:
C:\\windows\system32\iexplore.exe
found W32/Sdbot.worm.gen.t virus!!!
C:\\windows\system32\iexplore.exe has been deleted.
C:\\windows\system32\wssrv.exe\wssrv.exe
found W32/Sdbot.worm.gen.t virus!!!
C:\\windows\system32\wssrv.exe\wssrv.exe has been deleted.

Wofür wssrv.exe im Verzeichnis?!? wssrv.exe steht, haben wir nicht
heraus gefunden, jedoch machte es uns schon verwundert, dass
man die iexplore.exe löschen kann. Jedenfalls meldete Antivir auch
gleich noch ein paar Trojaner und anderes und nach dem Neustart
ging der Internet Explorer wieder obwohl wir mittels Stinger die
Datei gelöscht hatten.

Dann hatte ich Zonealarm installiert, damit nicht wieder was rein
kommt. Nach Neustart meldete er prompt:
WSconf.exe und dann auch glavas.exe wollen ins Internet, dürfen
die das? Das haben wir verneint und geschaut, was das soll. Google
ergab für glavas.exe gar nichts und WSconf.exe ist wohl mit dem
Wurm WORM_SDBOT.ZU gleich zu setzen. Also bin ich die Biester
immer noch nicht los!

Symantec hat keinen brauchbaren Vorschlag und kein Tool für diesen
Wurm und auch sonst weiß ich nicht weiter. Wer kann mir helfen?

Gruß!

GT

Bei den Trojanern (mehrere gefährlich Backdoors) würde ich das empfehlen. Hier findest du ein paar Infos, u.a auch zur Datensicherung. Da du über Modem ins Internet gehst bitte evtl. vorhandene Dialer zur Beweissicherung auf Diskette speichern.

Hallo und danke für die Antwort!

Nun ist es so, dass der PC nur mit so einer Recovery CD ausgestattet ist.
Da hatman doch so eine kleine Partition mit den Wiederherstellungsinformationen. Ist diese dann nicht auch verseucht? Wie steltt man so ein System wieder her?

Du sprichst von mehreren gefährlichen Backdoors, siehst Du die in der Auswertung des logs?

Auf dem PC sind viele Fotos und dergleichen, *doc´s und andere wichtige Dateien, wie kann ich die retten, da sind doch sicher auch verseuchte Dateien darunter oder?

Hilft hier dieses escan oder das dcs von trendmicro, was ich hier schon mehrfach gelesen habe?

Gruß!

GT

Hallo,

ist das Neuaufsetzen des Systems die einzige Lösung oder was haltet ihr davon, die Probleme mit HijackThis zu fixen und anschließend noch im abgesicherten Modus Virensuche und Stinger mehrmals drüber laufen zu lassen? Wenn man dann noch das SP 2 für XP, SP2 für den IE und alle anderen sicherheitsrelevanten Patches installiert, die noch fehlen, wird da nicht das system auch neu aufgesetzt?

Was sagt denn das unten posted hijackthis.log aus?

Gruß!

GT

Zitat:

Zitat von globetrotter

Auf dem PC sind viele Fotos und dergleichen, *doc´s und andere wichtige Dateien, wie kann ich die retten, da sind doch sicher auch verseuchte Dateien darunter oder?

Brenn die Daten auf CD und scanne sie nach dem Neuformatieren mit einem Virenscanner.

Zitat:

ist das Neuaufsetzen des Systems die einzige Lösung oder was haltet ihr davon, die Probleme mit HijackThis zu fixen und anschließend noch im abgesicherten Modus Virensuche und Stinger mehrmals drüber laufen zu lassen?

Nichts, ehrlich gesagt. Dein System ist kaputt und gehört neu aufgesetzt.

Zitat:

Wenn man dann noch das SP 2 für XP, SP2 für den IE und alle anderen sicherheitsrelevanten Patches installiert, die noch fehlen, wird da nicht das system auch neu aufgesetzt?

Nein.

Zitat:

Zitat von globetrotter

Was sagt denn das unten posted hijackthis.log aus?

Das ist unerheblich, denn zwei Virenscanner haben bereits eine Infektion mit Backdoors bei Dir festgestellt. Du solltest schnellstens den Netzzugang kappen und neu installieren.
Warum? Schau Dir auf einem sauberen Rechner http://www.mathematik.uni-marburg.de...c-removal.html an: "Viele Würmer richten auf den von Ihnen befallenen System sogenannte Backdoors (Hintertüren) ein, durch der Autor des Wurms die vollständige Kontrolle über den Rechner erhält. Einen solchen Rechner nennt man in der Szene einen "Zombie" und er wird üblicherweise von dem ihn kontrollierenden Angreifer für all die Dinge genutzt, die er mit seinem eigenen System nicht machen würde (Versenden von Spam, als Ablageplatz für illegale Daten, etc.)"

Gruß
Yopie

Das Logfile sagt auch aus, dass dein System kompromittiert ist.

Zitat:

der was haltet ihr davon, die Probleme mit HijackThis zu fixen und anschließend noch im abgesicherten Modus Virensuche und Stinger mehrmals drüber laufen zu lassen?

gar nichts!!!!

Zitat:

Wenn man dann noch das SP 2 für XP, SP2 für den IE und alle anderen sicherheitsrelevanten Patches installiert, die noch fehlen, wird da nicht das system auch neu aufgesetzt?

wie kommst du denn darauf ???

Zu deiner Frage mit der Recovery CD: http://www.trojaner-board.de/showthread.php?t=8844

Hallo,

vielen Dank für Eure Antworten, nur frage ich mich jetzt wie ich das hin bekomme, dass ich ein völlig sauberes und sicheres System erhalte. Gibt es überhaupt noch saubere Systeme?

Wenn ich den PC platt gemacht habe und mir die MS Updates, Antivirensoftware usw. herunterladen will, dann muss ich ja ins Netz gehen. Ist dann nicht der PC noch ungeschützt und kann gleich wieder bombardiert werden?

Wenn ich die Daten auf CD brenne und dann in den sauberen PC einlege, um sie auf Viren zu scannen, ist dann der PC nicht gleich wieder verseucht?

@Haui45, weil die Systemdateien alle erneuert werden, beim Update, da kam ich drauf, dass man ja fast ein neues Sytem erhält. Die Viren wurden ja angeblich von den Scannern beseitigt. Obwohl, so richtig sicher kann man sich ja dabei nie sein, dass der Scanner alle erkennt.

Gruß!

GT

Zitat:

Zitat von globetrotter

Hallo,



Wenn ich den PC platt gemacht habe und mir die MS Updates, Antivirensoftware usw. herunterladen will, dann muss ich ja ins Netz gehen. Ist dann nicht der PC noch ungeschützt und kann gleich wieder bombardiert werden?

Ja kann er.Daher entweder das Service Pack 2 sich irgendwoher auf CD besorgen oder vor dem ersten Onlinegehen die Windowsinterne Firewall anschalten um sich Updates von Windows und seinem Antivirenprogramm zu holen.

Zitat:

Wenn ich die Daten auf CD brenne und dann in den sauberen PC einlege, um sie auf Viren zu scannen, ist dann der PC nicht gleich wieder verseucht?

Du solltest die Daten mit der aktuellsten Virensignatur überprüfen, die dein Antivirenproggramm hergibt.

Zum Thema Neuinstallation:

http://www.trojaner-board.de/showthread.php?t=9546

Für die Zukunft mal ans Herz gelegt:
http://www.malte-wetz.de.vu/index.ph...ompromise.html

Zitat:

Zitat von globetrotter

Gibt es überhaupt noch saubere Systeme?

Natürlich.

Gruß
Yopie

Hallo!

Ihr habt mich überzeugt. Das SP2 auf CD ist unterwegs, doch das dauert, naja, bin erst mal im Urlaub. Wenn ich denn Herrn Metz richtig verstanden habe, ist das auf CD gebrannte unkritisch, solange man nichts davon ausführt, sondern lediglich scannt? Auf alle Fälle sind die angegebenen links sehr hilfreich, nochmals vielen Dank!

Gruß!

GT

Zitat:

Zitat von globetrotter

Wenn ich denn Herrn Metz richtig verstanden habe, ist das auf CD gebrannte unkritisch, solange man nichts davon ausführt, sondern lediglich scannt?

So siehts aus.

Gruß
Yopie

Zitat:

Zitat von cronos

...
Für die Zukunft mal ans Herz gelegt:
http://www.malte-wetz.de.vu/index.ph...ompromise.html

Kann das sein, dass Herr M J Wetz selber komprommitiert ist? Gestern konnt ich mir das alles noch in Ruhe durchlesen, Heute komm ich nicht mehr drauf, weder über de.vu noch über Uni Marburg. Oder liegt es daran, dass die Trojaner auf meinem System gemerkt haben, dass ich das noch mal lesen will?!?

EDIT: Jetzt geht er wieder...