Trojaner-Board - Bitte um Hilfe - Ports geblocked, Trojaner überall

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bitte um Hilfe - Ports geblocked, Trojaner überall (https://www.trojaner-board.de/7641-bitte-um-hilfe-ports-geblocked-trojaner-ueberall.html)

Bitte um Hilfe - Ports geblocked, Trojaner überall

Hi Leute!

Hab diese Seite hier zufällig entdeckt, nachdem ich ewig vor dem PC gesessen bin, um herauszufinden, warum meine Ports geblockt sind und das mit Online Scans usw. zu beheben. Zudem tauchen auch immer wieder Viren auf, wie zum Beispiel: not-a-virus...
Jedenfalls bin ich ziemlich froh, euch gefunden zu haben. Toll, dass ihr euch so bemüht, zu helfen!

Hatte schon öfter PC Probleme - auch mit Viren und Trojanern - aber so schlimm war's noch nie: Ihr seid meine letzte Rettung!
Ich hoffe nur, dass ich das Formatieren umgehen kann, denn das hab ich erst hinter mir...

Hier mein Hijack Log:

Logfile of HijackThis v1.98.2
Scan saved at 10:56:42, on 18.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\System-Programme\DiskeeperLite\DKService.exe
C:\Copy Programme\Nero Burning Rom\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\INTERN~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Internet-Programme\Mozilla Firefox\firefox.exe
C:\Internet-Programme\ZoneAlarm\zlclient.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HEINER~1\LOKALE~1\Temp\Rar$EX00.554\HijackThis.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll (file missing)
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll (file missing)
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\System-Programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\HEINER~1\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [IncrediMail] C:\INTERN~1\INCRED~1\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\INTERN~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet-Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet-Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093303107406
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45A123E9-BE54-481E-B00C-5E34731F038F}: NameServer = 172.19.30.10 195.226.96.131

Wär echt klasse, wenn ihr helfen könntet!

Vielen Dank!
Matze

Erstelle zuerst mal ein eigenes festes Verzeichnis für Hijackthis und starte das Programm von dort, nur so kann es Backups anlegen, falls irgendetwas schiefgehen sollte.

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\HEINER~1\LOKALE~1\Temp\delus.exe (hattest du mal Antvir drauf? das ist, glaube ich ein rest dieses Programms, also kannst du es auch entfernen)

Danach boote in den abgesicherten Modus, lösche die in den Einträgen genannten Dateien und scanne mal mit KAV den PC komplett durch. Erstelle ein neues Logfile.

Die "not-a-virus"-Meldung ist normalerweise, wie der Name schon sagt, KEIN echter Virus, sondern meist ein Programm, das bestimmte Merkmale eines solchen besitzt oder beispielsweise eine Reboot-Aufforderung enthält, was per se ja noch nichts "böses" sein muss. Man müsste genau sehen, was erkannt wurde, aber idR ist es tatsächlich kein Schädling.

Wenn du öfter Probleme mit Schädlingen hast, solltest du die Konfiguration deines Systems und dein Surfverhalten überprüfen, denn in nahezu allen Fällen ist der Nutzer selbst passiv oder aktiv an der Infektion seines Rechners Schuld, dieses Fehlverhalten kann auch durch Sicherheitssoftware nicht adäquat ausgeglichen werden, diese wird, wenn die Grundregeln beachtet werden, sogar weitgehend überflüssig.

Lektüre:

http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Ok, danke für den schnellen Rat!

Ich werde das jetzt mal alles machen und dann eine neue Log File posten.

Ps: Ja, Antivir hatte ich mal drauf, war aber nicht so der Hammer.
Ich bin manchmal auf Seiten unterwegs, die vor Viren und Trojanern nur so strotzen. Aber ich muss auf die rauf... Soll ich vielleicht ein neues Benutzerkonto erstellen und nur dann diese speziellen Seiten besuchen?

Zitat:

Zitat von Razorblade

Ich bin manchmal auf Seiten unterwegs, die vor Viren und Trojanern nur so strotzen. Aber ich muss auf die rauf... Soll ich vielleicht ein neues Benutzerkonto erstellen und nur dann diese speziellen Seiten besuchen?

Wenn du ein Auto kaufst, bist du auch verpflichtet, einen Unfall zu bauen? Warum MUSST du denn auf diese Seiten? Wenn du ein eingeschränktes Konto verwendest zum Surfen ist das prinzipiell allerdings besser, ich wüsste allerdings keinen Grund, weswegen man derartige Seiten besuchen MUSS. Weitere Hinweise findest du in den geposteten Links.

Ja, da hast du schon recht. Aber manchmal können Seiten wie astalavista.com eben ziemlich hilfreich sein...

Aber, ich werd mir das mal in Zukunft überlegen.

Lag das jetzt an den Trojanern, dass meine ganzen Ports auf dem PC geblockt waren? War da auf so einer Portscanner Seite, auf der kam, dass so gut wie alle meine Ports geblockt sind.

Hier jedenfalls noch die neue Log File:

Logfile of HijackThis v1.98.2
Scan saved at 14:24:30, on 18.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\INTERN~1\INCRED~1\bin\IMApp.exe
C:\System-Programme\DiskeeperLite\DKService.exe
C:\Copy Programme\Nero Burning Rom\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Internet-Programme\ZoneAlarm\zlclient.exe
C:\Internet-Programme\Opera\opera.exe
C:\Media Player\Winamp\winamp.exe
C:\WINDOWS\System32\svchost.exe
C:\System-Programme\HiJack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [KAVPersonal50] C:\System-Programme\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [IncrediMail] C:\INTERN~1\INCRED~1\bin\IncMail.exe /c
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\INTERN~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet-Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Internet-Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093303107406
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{45A123E9-BE54-481E-B00C-5E34731F038F}: NameServer = 172.19.30.10 195.226.96.131

Danke

Nochmal was... Mein Soulseek spinnt noch immer. Das müsste auch was mit den Ports zu tun haben, oder?

Bin irgendwie ziemlich ratlos... :confused:

Hallo?

Passt das jetzt so in der Log File?

Das Logfile sieht im Moment sauber aus. Dass die meisten Ports geschlossen sind ist klar, außerdem hast du ja eine Firewall auf dem System, dazu ist das Ding ja untre anderem da. Eventuell hast du auch noch die interne Firewall von XP eingeschaltet? Dort musst du Soulseek auch erst zulassen.

Ne, von der internen Firewall halte ich wenig. Da verlass ich mich lieber auf Zone Alarm. Oder kennst du ne bessere?

Soulseek hab ich da schon freigegeben, aber es funktioniert nicht 100 %ig. Keine Ahnung woran das liegt. Vielleicht etwas inkomptibel zum SP2.

Aber egal. Die gravierendsten Probleme sind beseitigt und dafür möchte ich mich bedanken!! Klasse Forum hier! Weiter so!

Du solltest trotzdem mal checken, ob die interne Firewall für deine Verbindung aktiviert ist, falls du das noch nicht hast, Soulseek funktioniert eigentlich mit dem SP 2, muss aber wie gesagt bei aktivierter X-FW bei dieser erlaubt werden.

Verlassen sollte man sich auf gar nichts und schon gar nicht auf einen Virenscanner oder eine Firewall. Sie können die größte Schwachstelle im System nicht ausbügeln und das ist der Nutzer. Entscheidende Punkte im Sicherheitskonzept sind andere, die richtige Konfiguration des Systems und die Verwendung von brain 2.0.