Ganz schön verseucht, oder?!?!?
 

Hi,

ich war vorhin bei einer Freundin und sie hat mir von ihren Problemen mit dem PC erzählt. Sie arbeitet noch mit nem Modem alter Kategorie (56k) und wird in letzter Zeit immer nach fünf Sekunden aus dem Netz geworfen, weil SmartSurfer sie warnt, dass irgendein Dialer versucht eine 0190/0900 Nr. anzuwählen.

Habe ihr dann erstmal ad-aware (212 kritische Objekte) und spybot (29 Einträge) draufgespielt. Also scheint das System ziemlich verseucht zu sein. AV hat sie zwar, aber schon ewig nicht mehr upgedatet und Firewall hat sie auch nicht.

Da der Internetzugang bei ihr immer noch nicht richtig funktioniert, habe ich bei ihr mal ein Hijack-Logfile erstellt. Dummerweise habe ich es nicht geschafft den PC im abgesicherten Modus laufen zu lassen, und daher noch keinen eScan laufen lassen können. Obwohl es Windows XP ist, hilft drücken der F8-taste nichts, woran kann das liegen?

Hier erstmal das Logfile, vielleicht kann man ja schon daraus erkennen, was alles im argen liegt.
Über Hilfe würde ich mich sehr freuen :huepp: und danke euch schon mal im Voraus!;)

Logfile of HijackThis v1.99.1
Scan saved at 16:38:38, on 22.11.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\dynitora.exe
C:\winfix22490.exe
C:\WINDOWS\System32\win32ttb.exe
C:\WINDOWS\etb\pokapoka79.exe
C:\PROGRA~1\COMMON~1\frff\frffm.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\COMMON~1\frff\frffa.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\IHSVC.EXE
C:\WINDOWS\System32\nokiacheck.exe
C:\Dokumente und Einstellungen\**\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = h**p://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.1800searchonline.com/sp2.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.1800searchonline.com/sp2.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\Run: [REGRUN] C:\winfix22490.exe
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\Run: [NeO0p] C:\WINDOWS\tofbrhth.exe
O4 - HKLM\..\Run: [Nokia Check] nokiacheck.exe
O4 - HKLM\..\Run: [Internet Help Svc] IHSVC.EXE
O4 - HKLM\..\Run: [œË±Ë{O¼êášd„šVnrÖ¦C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\tofbrhth.exe
O4 - HKLM\..\Run: [œË±Ë{O¼êášd„š/‚²�ÆC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\tofbrhth.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [System service79] C:\WINDOWS\etb\pokapoka79.exe
O4 - HKLM\..\RunServices: [Dynamic Dns Binary] dynitora.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\RunServices: [Nokia Check] nokiacheck.exe
O4 - HKLM\..\RunServices: [Internet Help Svc] IHSVC.EXE
O4 - HKCU\..\Run: [Dynamic Dns Binary] dynitora.exe
O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKCU\..\Run: [frff] C:\PROGRA~1\COMMON~1\frff\frffm.exe
O4 - HKCU\..\Run: [Nokia Check] nokiacheck.exe
O4 - HKCU\..\Run: [Internet Help Svc] IHSVC.EXE
O4 - HKCU\..\RunServices: [Nokia Check] nokiacheck.exe
O4 - HKCU\..\RunServices: [Internet Help Svc] IHSVC.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O12 - Plugin for .midi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC4917CE-E350-481C-9055-7E0F2EC237EC}: NameServer = 62.53.142.15 193.189.244.205
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: microsoft update (msnupdate) - Unknown owner - C:\WINDOWS\windupdate.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

Ach ja, TuneUpUtilities habe ich einen Blick in ihre Programme geworfen, die alle mitgestartet werden. Es sind Dutzende, von denen ich nur GANZ wenig kannte, deswegen habe ich da noch nichts unternommen. Hilfe ist gerne erbeten!!!

Danke

Hallo,

also hier ist ganz schön was los...
ich würd sagen eventuell neu aufspielen,aber watre mal was andere dazu meinen??
und vor allem mal das servicepack 2 draufspielen...

Gruß

fangen wir mal an:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKLM\..\Run: [Preview AdService] C:\Program Files\Preview AdService\PrevAdServ.exe
O4 - HKLM\..\Run: [œË±Ë{O¼êášd„šVnrÖ¦C:\Programme\ISTsvc\istsvc.exe ] C:\WINDOWS\tofbrhth.exe
O4 - HKLM\..\Run: [œË±Ë{O¼êášd„š/‚²�ÆC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\tofbrhth.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O16 - DPF: {0D62A517-E7C6-4E1F-A577-07D4AC549A48} (Progetto1.int_ver32) - http://advnt01.com/dialer/int_ver32b.CAB

aber ich glaub das ist noch nicht alles...
wie gesagt warte mal noch andere meinungen ab..

hoerni26 hat recht.
Allein deswegen: C:\WINDOWS\System32\nokiacheck.exe
Er kann:
Add or remove default network shares
Change IRC server and channel it connects to
Download and execute files
Emulate a proxy server
Emulate an FTP server
Enable DCOM protocol
Flush DNS cache
Get system information, such as the following:
CPU speed
Free memory
Uptime
Free disk space
Operating System
Current User
Launch denial of service attacks using the HTTP, Ping, SYN, and UDP flooding methods
List and terminate services and processes
Log keystrokes
Redirect connections
Scan local area network for listening ports
Send email through SMTP
Sniff packets
gibt´s nur eine Lösung:
Neuaufsetzen des Systems.
Ansonsten ist nochso viel andere Seuche (weitere RBots, Spybots etc. alles Backdoor-Trojaner)drauf, daß du gar nichts besseres tun kannst.
cacatoa

Schönen Dank!!! Wird sie sicher nicht erfreut sein, aber so weiß sie zumindest, dass sie nicht mehr ins Internet gehen sollte...

Wünsche euch ne gute Nacht und noch ne erfolgreiche Woche!!!

grüße