|
rpcmon geht nicht weg Hallo, ich hab mir wohl einen Wurm eingefangen... ich habe schon etwas im Internet gestöbert, bin aber nicht so recht schlau geworden. Hier erstmal mein Logfile von Hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 12:30:49, on 15.08.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\D-Tools\daemon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\Rpcmon.exe C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Dokumente und Einstellungen\denkste\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [taskmanger] taskmanger.exe O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\RunServices: [taskmanger] taskmanger.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{EE37BDDD-A765-4203-B0C9-ACBD01C4D419}: NameServer = 213.168.112.60 81.173.194.68 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Procedure Call (RPC) Monitoring (Rpcmon) - Unknown owner - C:\WINDOWS\System32\Rpcmon.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe Ich weiß bereits, daß es sich um diese RPCMON Einträe handelt (Hijackthis-online-logfile-auswertung). Aber wenn ich die Einträge fixe, sind sie bald wieder da... Weil ich die C:\WINDOWS\System32\Rpcmon.exe Datei nicht finden kann und die auch nicht offensichtlich in der registry steht, habe ich mir ein tool zum Durchsuchen der Registry ergoogelt: "regsrch.vbs" Das findet dann folgendes: REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "rpcmon" 15.08.2005 13:46:07 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000] "Service"="Rpcmon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_RPCMON\0000\Control] "ActiveService"="Rpcmon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Rpcmon\Enum] "0"="Root\\LEGACY_RPCMON\\0000" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_RPCMON\0000] "Service"="Rpcmon" [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Rpcmon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000] "Service"="Rpcmon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000\Control] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_RPCMON\0000\Control] "ActiveService"="Rpcmon" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Security] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpcmon\Enum] "0"="Root\\LEGACY_RPCMON\\0000" [HKEY_USERS\S-1-5-21-1177238915-1454471165-725345543-1003\Software\Microsoft\Search Assistant\ACMru\5603] "000"="rpcmon.exe" Irgendwie hilft mir das jetzt aber nicht weiter. Ich würde das Ding doch ganz gerne loswerden... Falls da jemand Rat weiß, wäre ich froh. Gruß, Nixoratio |
Aufgrund deines völlig ungepatchten Systems: Zitat:
Dein System ist als kompromittiert anzusehen.Daher kann dir nur geraten werden, dein System neu aufzusetzen. Gehe dazu nach dieser Anleitung vor, um ähnliches in Zukunft zu vermeiden. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board