|
CWS.Msconfd hat mich... Hi erstmal. Hab mir mal wieder so eine ratte eingefangen, jetzt reichts mir aber mit neu aufsetzten. Diesmal will ich das ding so loswerden. Hoffe ihr könnt mir helfen, bin ein ziemlicher noob... Also hier mein HijackThis logfile: Logfile of HijackThis v1.99.1 Scan saved at 16:14:05, on 10.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_05\bin\jusched.exe C:\Programme\Winamp 5.11\winampa.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Winamp 5.11\winamp.exe E:\Programme\CWShredder\Update 3\cwshredder.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\HijackThis\1.99.1\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Xfire] Xfire.exe /minimize O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp 5.11\winampa.exe O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{83E273B1-1185-4132-AD64-3A326C49AA93}: NameServer = 85.255.115.42,85.255.112.118 O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe CWShredder findet CWS.Msconfd. Das scheissding haut mir pornolinks in die favourites und verlinkt mich auch auf fremde seiten weiter... Bin unendlich dankbar für jeden tip. Da hat man Firewall (ZoneAlarm), Virenschutz (AVG free), und sogar den SpyBot SD Resident laufen und die scheissdinger infiltrieren den rechner trotzdem ^^ mfg BS |
Hallo, sieht nicht gut aus für dein System, aber lass mal F-secure Blacklight drüberlaufen und poste das Ergebnis. Grüße Wildone |
Also erstmal danke für die schnelle antwort! Was ich vorhin vergas zu erwähnen is dass der virusschutz zeitweise aufpopt mit einer viruswarnung: While opening file: C:\WINDOWS\system32\logo_big.exe Trojan Horse Downloader.Generetic.KMT und das selbe mit While opening file: C:\WINDOWS\system32\sphlp32.exe Trojan Horse Clicker.FR Natürlich geht weder Heal noch Delete noch Move to Vault. Auch finde ich die dateien nicht... Nun zum Blacklight scan. Super tool! 12/10/05 17:16:47 [Info]: BlackLight Engine 1.0.29 initialized 12/10/05 17:16:47 [Info]: OS: 5.1 build 2600 (Service Pack 2) 12/10/05 17:16:47 [Note]: 7019 4 12/10/05 17:16:47 [Note]: 7005 0 12/10/05 17:16:57 [Note]: 7006 0 12/10/05 17:16:57 [Note]: 7011 1392 12/10/05 17:16:57 [Note]: 7018 1792 12/10/05 17:16:57 [Info]: Hidden process: C:\WINDOWS\system32\idemlog.exe 12/10/05 17:16:57 [Note]: FSRAW library version 1.7.1013 12/10/05 17:17:25 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 12/10/05 17:17:25 [Note]: 10002 1 12/10/05 17:17:32 [Info]: Hidden file: C:\WINDOWS\system32\idemlog.exe 12/10/05 17:17:32 [Note]: 10002 1 12/10/05 17:17:39 [Info]: Hidden file: C:\WINDOWS\system32\csuwi.exe 12/10/05 17:17:39 [Note]: 7002 32 12/10/05 17:17:39 [Note]: 7003 1 12/10/05 17:17:39 [Note]: 10002 1 12/10/05 17:17:46 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe 12/10/05 17:17:46 [Note]: 10002 1 12/10/05 17:17:52 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 12/10/05 17:17:52 [Note]: 10002 1 12/10/05 17:18:01 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe 12/10/05 17:18:01 [Note]: 10002 1 12/10/05 17:18:07 [Info]: Hidden file: C:\WINDOWS\system32\logo_big.exe 12/10/05 17:18:07 [Note]: 7002 5 12/10/05 17:18:07 [Note]: 7003 1 12/10/05 17:18:07 [Note]: 10002 1 12/10/05 17:18:18 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 12/10/05 17:18:18 [Note]: 10002 1 12/10/05 17:18:25 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe 12/10/05 17:18:25 [Note]: 7002 5 12/10/05 17:18:25 [Note]: 7003 1 12/10/05 17:18:25 [Note]: 10002 1 12/10/05 17:26:24 [Note]: 7007 0 Jetzt fang ich langsam an zu verzweifeln ^^ mfg BS |
Hallo, das hatte ich befürchtet, sorry, aber bei Rootkitbefall solltest du dein System neu aufsetzen, das gräbt sich einfach zu tief ein. Wo bzw. wie du dir das eingefangen hast kann ich nicht sagen, würde aber auf unzureichend abgesicherten IE tippen oder bei der Installation unseriöser Software (Cracks?). Hier ist eine Anleitung wie du beim neu aufsetzen und anschließenden absichern vorgehen solltest damit das nicht wieder passiert, lies dir mal besonders intensiv das Konzept unter eingeschränkten Rechten zu surfen durch. Grüße Wildone |
Verfluchtes Active Scripting kann ich da nur sagen. :koch: :headbang: War einfach fahrlässig von mir, werde in Zukunft wohl browsertechnische änderungen vornehmen müssen. Danke für deine hilfe ! ! mfg BenSanderson |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:02 Uhr. |
Copyright ©2000-2025, Trojaner-Board