|
Mein PC spielt total verrückt - bitte um Hilfe!!! Hallo, vorab - ich bin absolut nicht der PC-Freak und hab auch nicht so die Ahnung von der Materie... Hier erstmal meine Probleme: Hab mir durch Netpumper wohl so einiges ins Häuschen geholt! Die Pop-Ups tauchen aber mittlerweile nicht mehr auf. Dafür bekomme ich beim Systemstart weder die Möglichkeit in den abgesicherten Modus zu kommen, noch startet der PC "sauber" durch (braucht eeeeeewig). Außerdem bekomme ich nur einen schwarzen Bildschirm wenn ich versuche ohne Netzwerkkabel den Rechner hochzufahren - stattdessen kommt ganz kurz ein bluescreen und die kiste fährt erneut hoch - das kann ich beliebig oft wiederholen. hab verschiedene virenscanner (escan, norton, antivir, adaware etc.) ausprobiert, alle finden irgendwas aber die probleme lösen sich einfach nicht.... zusätzlich habe ich noch folgende dateien auf dem system die ich nicht löschen kann bzw. die nach dem löschen bei neustart immer wieder auftauchen: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\meal ooze idle soft\usersafe.exe C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\meal ooze idle soft\Eq eggs 1 C:\Dokumente und Einstellungen\***\Anwendungsdaten\Jump bat dupe\dogprogram.exe Diese Ordner bzw. Dateien hatte Norton auch gefunden, kann sie aber ebenfalls nicht löschen... gelegentlich bekomme ich beim systemstart auch eine info das norton einen backdoor trojaner gefunden und gelöscht hat - hab aber den namen von dem vieh grad nicht parat...sorry schonmal an der stelle! zu guter letzt macht eine anwendung namens "navw32.exe" andauernd ärger - "der vorgang "read" konnte auf dem speicher nicht durchgeführt werden"... ich hab das board ein wenig studiert und jetzt so ein hijackthis gemacht! wär echt super wenn mir jemand helfen könnte (bitte in kindersprache :rolleyes: ). Wenn es nur irgendwie geht bitte so dass ich meine systemkonfiguration/ dateien behalten kann... vieeeelen dank im voraus!!! drietjesicht Logfile of HijackThis v1.99.1 Scan saved at 21:28:05, on 07.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx |
Poste mal das komplette Log von HJT. |
Hallo, Zitat:
hat du putt demacht-mud du neu machen... Recht so ?:) Zitat:
Such mal in Norton ,ob da nicht der Name und Pfad von dem Ding zu finden ist,in Quarantäne oder sinngemäßem. Irrlicht |
sorry, da is was verloren gegangen :-) Logfile of HijackThis v1.99.1 Scan saved at 21:28:05, on 07.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\wbem\wmiprvse.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis\HijackThis.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7D79278F-EA3A-DBA1-D601-E5E5B2E028CE} - (no file) O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\dnxyeca.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting O4 - HKCU\..\Run: [Amok hold] C:\DOKUME~1\***\ANWEND~1\JUMPBA~1\dogprogram.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://w*w.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://w*w.medion.com/ O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://w*w.cult3d.com/download/cult.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - h**p://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/272f56c27105adcdda18/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136924046343 O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://w*w.hpphoto.com/downloads/DownloadPhotos.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - h**p://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Ethernet Packet Service (npacketservice) - Unknown owner - C:\WINDOWS\system32\npacketsvc.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
@irrlicht: genau so :-) mein norton will leider nicht mehr... |
@TO lass folgende Dateien bei Virustotal auswerten: Zitat:
Gruß Daniel EDIT: Ach irrlicht, du warst auch schon mal schneller :zzwhip: |
Hallo drietjesicht, ich vermute den :http://www.sophos.de/security/analyses/trojbdooryp.html in deinem System. Warten wir noch ,ob wer das bestätigen kann.Du solltest dich aber schonmal mit dem Gedanken und dem Thread "Neuaufsetzen" beschäftigen. Irrlicht |
die "C:\WINDOWS\system32\vssms32.exe" find ich im uploadfenster nicht - woran kann sowas denn liegen?auf die andere warte ich grad.... |
Vielleicht hilft dir beim suchen der Datei dieser LINK :rolleyes: |
lol - das hätte selbst ich wissen müssen...:headbang: gleich ist`s soweit.... |
nummer eins: Complete scanning result of "dnxyeca.dat", received in VirusTotal at 07.07.2006, 22:14:30 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 no virus found CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 no virus found McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 64 bytes MD5: 34584bd374bf21dc349b63a9e38a9408 SHA1: 33b9ee4127383eac0c2ebbd3233262823aae5637 |
nummer 2 liest sich für mich bei panda nicht ganz so gut: Complete scanning result of "vssms32.exe", received in VirusTotal at 07.07.2006, 22:23:59 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 no virus found CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 no virus found McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 Suspicious file Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 642560 bytes MD5: 2db403c837fe9faf85564db4407e70d3 SHA1: 5f22e02b23117b29e516b8987fd93f052ce4cdaf packers: Aspack |
und jetzt? |
Scanne Dein System mit F-Secure Blacklight und poste das Log. Prüfe Dein System mit Ewido Antimalware 3.5 Link dazu http://www.ewido.net/de/ Poste das Ergebnis. Lade Clearprog, installiere es, starte es. Haken bei alles Löschen setzen und Löschen drücken. Neues HJT-Log. |
sorry, vielleicht bin ich ja auch zu blöd das ohne link zu finden aber das fsecure find ich net |
falls es hilft, meine letzten beiden quarantines von norton (von anfang des monats): Complete scanning result of "507123EA.dll", received in VirusTotal at 07.07.2006, 23:29:26 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 Backdoor.Cakl.B CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 26184 bytes MD5: 5a22bb601d247de7ea16c5fc8ec51765 SHA1: 1e6e80265a871db61e3d957b8ad027f6fe406ed2 packers: XORCrypt Complete scanning result of "0493409E.exe", received in VirusTotal at 07.07.2006, 23:32:50 (CET). Antivirus Version Update Result AntiVir 6.35.0.21 07.07.2006 no virus found Authentium 4.93.8 07.07.2006 no virus found Avast 4.7.844.0 07.07.2006 no virus found AVG 386 07.07.2006 no virus found BitDefender 7.2 07.07.2006 Backdoor.Cakl.B CAT-QuickHeal 8.00 07.07.2006 no virus found ClamAV devel-20060426 07.07.2006 no virus found DrWeb 4.33 07.07.2006 no virus found eTrust-InoculateIT 23.72.61 07.07.2006 no virus found eTrust-Vet 12.6.2291 07.07.2006 no virus found Ewido 3.5 07.07.2006 no virus found Fortinet 2.77.0.0 07.06.2006 no virus found F-Prot 3.16f 07.07.2006 no virus found F-Prot4 4.2.1.29 07.07.2006 no virus found Ikarus 0.2.65.0 07.07.2006 no virus found Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d McAfee 4802 07.07.2006 no virus found Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1650 07.07.2006 no virus found Norman 5.90.23 07.07.2006 no virus found Panda 9.0.0.4 07.07.2006 no virus found Sophos 4.07.0 07.07.2006 no virus found Symantec 8.0 07.07.2006 no virus found TheHacker 5.9.8.170 07.07.2006 no virus found UNA 1.83 07.06.2006 no virus found VBA32 3.11.0 07.06.2006 no virus found VirusBuster 4.3.7:9 07.07.2006 no virus found Aditional Information File size: 19528 bytes MD5: 22b16c139cd096583d215c7cefb85ba3 SHA1: 63a7bb1883816a2745c05fdbd32dca1006f526a4 packers: XORCrypt |
und nun der nächste schritt: ewido anti-spyware - Scan-Bericht --------------------------------------------------------- + Erstellt um: 23:53:06 07.07.2006 + Scan-Ergebnis: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WhenUSave -> Adware.SaveNow : Mit Backup gesäubert (unter Quarantäne gestellt). C:\WINDOWS\system32\__delete_on_reboot__n_t_s_w_r_l_3_2_._d_l_l_ -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt). C:\WINDOWS\system32\ldapi32.exe -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt). [1112] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2276] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2536] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2548] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [2560] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. [3192] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung. C:\WINDOWS\system32\__delete_on_reboot__n_t_c_v_x_3_2_._d_l_l_ -> Backdoor.Dosia : Mit Backup gesäubert (unter Quarantäne gestellt). C:\Dokumente und Einstellungen\Michael\Cookies\michael@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@promarkt.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wfloekdjckp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6whkiskdzsgp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wjlygpdjebp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert. C:\Dokumente und Einstellungen\Michael\Cookies\michael@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert. ::Berichtende |
Und was ist mit ewido? Und dem Rest? Der Sever kann auch mal nicht erreichbar sein. |
hab blacklight doch noch gefunden :o : 07/07/06 23:56:54 [Info]: BlackLight Engine 1.0.42 initialized 07/07/06 23:56:54 [Info]: OS: 5.1 build 2600 (Service Pack 2) 07/07/06 23:56:54 [Note]: 7019 4 07/07/06 23:56:54 [Note]: 7005 0 07/07/06 23:56:59 [Note]: 7006 0 07/07/06 23:56:59 [Note]: 7011 1112 07/07/06 23:56:59 [Note]: 7026 0 07/07/06 23:56:59 [Note]: 7026 0 07/07/06 23:56:59 [Note]: 7024 3 07/07/06 23:56:59 [Info]: Hidden process: C:\WINDOWS\system32\vssms32.exe 07/07/06 23:56:59 [Note]: FSRAW library version 1.7.1019 07/08/06 00:01:52 [Note]: 7002 0 07/08/06 00:01:52 [Note]: 7003 1 07/08/06 00:02:48 [Note]: 7007 0 |
also: ewido durch, blacklight durch, clearprog durch... ich mach mal das hjt...bis gleich |
und da wärs: Logfile of HijackThis v1.99.1 Scan saved at 00:04:37, on 08.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\Dit.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vssms32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft ActiveSync\wcescomm.exe c:\progra~1\intern~1\iexplore.exe C:\PROGRA~1\MI3AA1~1\rapimgr.exe C:\Programme\Trend Micro\Tmas\Tmas.exe C:\Programme\FRITZ!DSL\StCenter.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\ewido anti-spyware 4.0\guard.exe C:\Programme\ewido anti-spyware 4.0\ewido.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Opera\Opera.exe C:\Programme\Microsoft Works\MSWorks.exe C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7D79278F-EA3A-DBA1-D601-E5E5B2E028CE} - (no file) O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\dnxyeca.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting O4 - HKCU\..\Run: [Amok hold] C:\DOKUME~1\Michael\ANWEND~1\JUMPBA~1\dogprogram.exe O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/272f56c27105adcdda18/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136924046343 O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing) O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Ethernet Packet Service (npacketservice) - Unknown owner - C:\WINDOWS\system32\npacketsvc.exe (file missing) O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe |
beim reboot kam jetzt auch noch so ein dos-eingabefenster... am ende der pfadangabe stand "usersafe.exe", den rest konnte ich so schnell nicht erkennen... |
Zitat:
|
wie gesagt, bin kein experte,sorry...aber als der desktop sich laaaaangsam aufbaute ging so ein fenster auf (schwarz mit grauer umrandung - wie früher bei DOS) und direkt wieder zu |
Zitat:
Weiterhin deutet alles darauf hin, dass auf deinem PC ein Bot installiert ist (siehe Signatur). Meines Erachtens folgender: http://www.sophos.de/security/analyses/trojbdooryp.html Da zusätzlich Blacklight vssms32.exe anmeckert (passt) und Ewido die ntswrl32.dll auch als Backdoor einstuft (passt auch), ist der Fall eindeutig und jede weitere Überprüfung Zeitverschwendung, es handelt sich um o.g. Malware: 1. Dein System ist eindeutig kompromittiert 2. Daraus folgt, dass nur ein Neuaufsetzen des Systems in Betracht kommen kann. Warum sollte klar sein, da du meine Links gelesen hast. Sorry, aber bei dir ist der "Worst-Case" eingetreten. Gruß-cronos Edit: Ich sehe gerade, das irrlicht die Diagnose schon am Anfang des Threads stellte. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board