|
HILFE ! NT-Autorität, Systemabschaltung (lssas ?) Hallo liebe Tro-com, habe mir wohl lssas (Wurm ?) eingefangen. shutdown -a kennt mein System nicht, und fixblast von symantec schafft es nicht bis zum Ende. Habe ältere Version hon hijack. Bitte um dringende Hilfe. Danke im voraus joeyblack |
Dann lade den HJT neu und poste das Log. http://www.trojaner-board.de/showthread.php?t=17493 |
@ felix1 Da shutdown -a nicht funktioniert, könnte das problematisch werden. ;) @joeyblack Welches Betriebssystem nutzt du? |
@ Cronos Windows NT 2000 Grüsse, joeyblack |
@ felix1 Hier mein logfile mit HJT 1.99 Logfile of HijackThis v1.99.1 Scan saved at 22:05:42, on 15.08.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AntiVirenKit professional\AVKService.exe C:\Programme\AntiVirenKit professional\AVKWCtl.exe C:\WINNT\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINNT\system32\RUNDLL32.EXE C:\WINNT\system32\ctfmon.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINNT\System32\HPZipm12.exe C:\Programme\Plextor\PlexIcon.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\wuauclt.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe D:\Eigene Bilder\FixBlast.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\explorer.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.t-online.de/software/ie401/search.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar2.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [WLAN_Cfg.exe] C:\Programme\WUSB11 WLAN Monitor\WLAN_Cfg.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe" O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe" O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\\NeroCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\ipsecdialer.exe O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: officejet 6100.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe O4 - Global Startup: PlexTools Professional.lnk = C:\Programme\Plextor\PlexTool.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://h**p://toolbar.google.com/dat.../GoogleNav.cab O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://h**p://membersites.namezero.c...webinstall.cab O16 - DPF: {BF3CD111-6278-11D2-9EA3-00A0C9251384} (O2C-Player Version 1.x) - h**p://www.o2c.de/download/O2CPlayer.CAB O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit professional\AVKWCtl.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe Grüsse joeyblack |
O16 - DPF: {8699D723-6DC6-47D3-B55C-489BA006B917} (WebInstall) - http://membersites.namezero.com/DOT.../webinstall.cab Wenn Du es nicht kennst, im abgesicherten Modus mit HJT fixen. Ansonsten mache mal genau nach Anleitung: http://www.trojaner-board.de/showthread.php?t=17492 |
...eScan downloaden kein Problem, aber der Virus beendet jedesmal den scan, bevor mwav.log erstell wurde. Habe Adware "Alexa" und"Altnet" gesehen... Shutdown -a funktioniert wie gesagt nicht, gibt es andere Möglichkeiten ? Grüße joeyblack :sword2: |
Hallo, eScan wurde sicherlich im abgesicherten Modus ausgeführt, oder?! Wenn Nein, dann umgehend nachholen. |
@joeyblack Zitat:
|
@ cidre ...Nein ! Danke für den guten Hinweis, aber ich als "Buntklicker" und SDU habe daran natürlich nicht gedacht. Wird sofort nachgeholt. Grüsse joeyblack |
Hallo zusammen, escan war m.E. erfolgreich. Da mwav.log (18MB) doch sehr gross, folgend nun alles was "infected" war. Aug 16 18:48:15 2005 => System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. Diese Meldung taucht 4x auf, hier das Abschlußergebnis: Tue Aug 16 21:54:03 2005 => Total Objects Scanned: 94064 Tue Aug 16 21:54:03 2005 => Total Virus(es) Found: 4 Tue Aug 16 21:54:03 2005 => Total Disinfected Files: 0 Tue Aug 16 21:54:03 2005 => Total Files Renamed: 0 Tue Aug 16 21:54:03 2005 => Total Deleted Objects: 0 Tue Aug 16 21:54:03 2005 => Total Errors: 93 Tue Aug 16 21:54:03 2005 => Time Elapsed: 01:25:13 Tue Aug 16 21:54:03 2005 => Virus Database Date: 2005/08/09 Tue Aug 16 21:54:03 2005 => Virus Database Count: 142843 Tue Aug 16 21:54:03 2005 => Scan Completed. Tue Aug 16 21:57:01 2005 => Virus Database Date: 2005/08/09 Tue Aug 16 21:57:01 2005 => Virus Database Count: 142843 Tue Aug 16 21:57:10 2005 => AV Library Unloaded (3)... Bin weiter für jede Hilfe/Anweisung dankbar und morgen Abend wieder online. Danke und Grüße joeyblack |
Lese Dir die Anleitung genau durch. Beachte besonders die Aussagen zu Datei find.bat bezüglich des postens der relevanten Informationen. Was Du aber schon jetzt mal tun kannst: Lade und update Ad-aware und Spybot und lasse die Programme laufen. http://www.comsafe.de/download.html Installiere cleanup, rufe es auf und setze den Haken bei alles löschen und dann Löschen drücken. http://www.clearprog.de/ |
@ felix1 Ad-aware und spybot durchgeführt. Spybot hat nichts gefunden, Adaware hat einiges in Quarantäne gestellt. Clean-up mache ich noch. Bei Find.bat habe ich das Problem, daß ich zwar alles unter Zielordner C:\Bases_X installiert habe, ich es danach dort aber nicht mehr wiederfinde. Mein system installiert es immer in der D:\Partition, von wo aus ich mwavscan.com problemlos im abgesicherten Modus starten kann. Grüße joeyblack |
Zitat:
|
@ Gigamail autsch, unklare Formulierungen ziehen natürlich entsprechende Antworten nach sich. Natürlich hast Du Recht. Mit der rechten Maustaste auf "Dateien entpacken"... habe ich durchgeführt. Als Zielort habe ich C.\Bases_X angegeben, und es wurde nicht dorthin entpackt, sondern in der D:\-Partition. Grüße joeyblack |
@ ALL Mühsam ernährt sich das Eichhörnchen. Habe noch einmal alles LANGSAM step by step durchgeführt: Ad-aware, spybot, clearprog. Dann eScan, Find.bat Doppelkilck und anbei nun meine aktuell eScan_neu.txt. Danke für Eure bisherige Geduld Grüße joeyblack |
Zitat:
|
@ Gigamail sorry, aber im RL läuft z. Zt. einiges ab , was mich sehr unkonzentriert erscheinen lässt. Anbei nun meine letzte aktuelle escan_neu.txt, in der Hoffnung, daß mir als ONU doch noch geholfen werden kann. Grüße joeyblack :crazy: |
Zitat:
Gruß :daumenhoc Yopie |
Hallo, ganz schlechte Nachrichten für dich, dieser Eintrag: File C:\WINNT\system32\wpa.exe infected by "Backdoor.Win32.IRCBot.ex" Virus! Action Taken: No Action Taken. bedeutet das du dein System neu aufsetzen solltest. Wenn du willst kannst du zur letzten Bestätigung die Datei noch mal hier gegenchecken, aber meine Diagnose steht soweit, hier eine Anleitung zum Neuaufsetzen, lies sie dir gut durch, halte dich daran, und du hast in Zukunft ein sichereres System. @Yopie Da war ich wohl zu langsam. Grüße Wildone |
@ Yopie, Wildone, besten Dank für Eure klaren Analysen. Für mich als "Buntklicker" echt ´ne Ernüchterung, aber damit muss ich leben. Neu Aufsetzen hat so etwas "Zerstörerisches", aber ich hoffe, daß der Neuanfang auch etwas mehr Sicherheit bietet. Grüße aus dem Rheinland joeyblack :party: |
@ ALL Besten Dank noch einmal an alle Beteiligten für die schnelle und professionelle Hilfe, wenn auch das Ergebnis für mich nicht das Erwünschte war. Aber ein Neuanfang bringt hoffentlich auch mehr Sicherheit. Ich möchte keine langen philosophischen Betrachtungen über diesen Vorgang loswerden, aber ich bin schon etwas schockiert. Zum einen war ich der Überzeugung, ein durchaus "konservativ sicheres" Surfverhalten (keine halbseidenen Seiten, etc.) praktiziert zu haben, andererseits dachte ich wirklich durch meinen AV von G-DATA geschützt zu sein. Was bringt eigentlich ein Wechsel auf LINUX ??? Danke noch einmal an alle, dieses Board ist echt das BESTE von allen. Grüße joeyblack :party: |
Zitat:
Weitere Hinweise dazu in meiner Sig. Zitat:
Sicherheitslücken gibt es dort auch, d.h. man sollte auch dort regelmäßig Sicherheitsupdates installieren. Die einzelnen Linux-Distris machen das dem User aber idR sehr leicht. Und das nicht nur für das Betriebssystem an sich, sondern auch für Anwendungsprogramme. Die Virenproblematik stellt sich dort nicht. Unter Linux arbeitet man per default nur mit eingeschränkten User-Rechten; auch daher ist Linux sicherer. Solange du keine Spezialprogramme nutzt, die nur unter Windows laufen, oder kein großer Zocker bist, ist Linux eine echte Alternative zu Windows. Wenn du noch keine Erfahrung hast, kannst du zum Reinschnuppern ja einfach mal eine von CD startende Live-CD (Knoppix) ausprobieren. Für die Installation bieten sich zunächst "einfache" Distris wie Ubuntu, Kubuntu oder Mandriva an. Eine steilere Lernkurve hast du aber mit einer Distri wie Gentoo. Arbeiten kannst du mit allen. Bei ernsthaftem Interesse kannst du ja mal konkrete Fragen im Linux-Unterforum posten. Gruß :daumenhoc Yopie |
@ Yopie Vielen Dank für Deine Ausführungen. Werde mich ernsthaft mit den Themen auseinandersetzen, sowohl was das "verrostete Auto" betrifft (sehr schöne Metapher für die "Einfach Strukturierten" wie mich) als auch der "neuguierig machende Hinweis" auf ein offensichtlich deutlich besseres Betriebssystem. Grüße joeyblack :) |
Guten Morgen liebe Sorgen..., wollte zum Neuaufsetzen des Systems meine C:\-Partition formatieren. Sowohl über Kontextmenü/rechte Maustatse/Formatieren als auch über "Ausführen/cmd/formatC:" weigert sich das System vor seiner Hinrichtung. Bin wie immer für jede Hilfe dankbar. Grüße joeyblack |
Aus dem laufenden Betrieb ist dies auch nicht möglich. Du sägst ja auch nicht den Ast ab auf dem du sitzt... Halte dich an diese Anleitung: Windows neu oder erstmalig installieren (Screenshotguide) |
Hallo, du kannst nicht das System formatieren von dem du arbeitest, ergo musst du von der Windows CD aus booten, damit das funktioniert musst du ins BIOS und die Bootreihenfolge ändern (also dort das CD Laufwerk angeben in das du die Windows CD einlegst). Grüße Jasager |
@ Cidre, Wildone gücklicherweise arbeite ich nicht in der Raketenindustrie, in der ich durch "Absägen von Ästen, auf denen ich sitze" einen grösseren Schaden anrichten könnte, aber im RL (Kummer mit 2 PCs, Wasserrohrbruch, neuer Job und eine nicht ganz lustige Diagnose vom Arzt) haben diese Woche als eine Strafe erscheinen lassen, die ich gerne a la "Butterfly effect" korrigiert hätte. Da der link von Cidre (screenshotguide) bei mir komischerweise nicht fuktionierte, habe ich unter http://www24.brinkster.com/thorsten1...ieren/win2000/ die richtige Anleitung über CD-booten, löschen und partionieren gefunden. System ist jetzt komplett neu installiert. Lasse gerade eScan im abgesicherten Modus laufen. Wenn dann alles ok ist werde ich das System komplett neu konfigurieren unter besonderer Berücksichtigung der zukünftigen Sicherheit. Wie immer: Besten Dank für Eure Hilfe und Euer Verständnis. Grüße, joeyblack :aplaus: ____________________________________________ Einmal im Monat "Vom Fischer und seiner Frau (Grimm)" lesen, dann weiss man, wie gut es einem geht ! |
Hallo, Chinesisches Sprichwort: "Mitten in der Nacht beginnt ein neuer Tag." In diesem Sinne Grüße Wildone |
Hallo zusammen, die Sonne scheint tatsächlich wieder etwas. Mein älterer Rechner läuft wieder einwandfrei (über den ich hier gerade kommuniziere) und das Neuaufsetzen des anderen Rechnershat alles soweit geklappt. Die meisten Anwendungen sind installiert (bei HP echt mal wieder ein Akt...), nur meine Netzwerkverbindung gestaltet sich schwierig. Ich habe ein wirless-LAN von linksys mit einer Instant wireless network USB adapter ver. 2.6, die von hier aus einwandfrei läuft. Habe die Originalinstallationsdatei auf CD gespielt, aber irgendwie nimmt der Rechner sie im Installationsassistenten nicht an, auch wenn ich die Pfade direkt eingebe. Vielleicht irgendeine Idee. Besten Dank im voraus für Euren Input. Grüße joeyblack :crazy: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board