Trojaner-Board - Hilfe ein Worm nach dem anderen....

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe ein Worm nach dem anderen.... (https://www.trojaner-board.de/8880-hilfe-worm-anderen.html)

Hilfe ein Worm nach dem anderen....

Hallo Leute,

ich hab mich vorhin grade angemeldet und hoffe ich poste meinen Hijack Log hier richtig! Seit Tagen ist meine Internetverbindung megalangsam und Antivir (täglich upgedatet) bringt mir dauernd neue Würmer zum Vorschein! Entweder lassen diese sich gar nicht löschen (Antivir stürzt ständig ab) oder aber wenn ich lösche dauert es keine paar Minuten werden diese Dinger immer wieder gemeldet. Ich hab alles ausprobiert...Stinger hat zwei gefunden, a2 zuvor gar nichts...jetzt bleibt mir nur noch die Hoffnung, dat ihr mir mit meinen Log beim Auswerten helfen könnt :-( Ich setze den mal rein und hoffe es kann mir wer antworten!

PS: ich bin eigentlich nur PC Anwender...also bitte nich so arg in Fachsprache *g*

Logfile of HijackThis v1.98.2
Scan saved at 13:55:37, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\calc32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\Winregs32d.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Dokumente und Einstellungen\Sabine\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Windows Calculator] calc32.exe
O4 - HKLM\..\Run: [Registry Checkup System32 Monitor] Winregs32d.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Calculator] calc32.exe
O4 - HKLM\..\RunServices: [Registry Checkup System32 Monitor] Winregs32d.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Windows Calculator] calc32.exe
O4 - HKCU\..\Run: [Registry Checkup System32 Monitor] Winregs32d.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Sende diese Dateien mal an partytime-germany.ice@web.de :

C:\WINDOWS\System32\calc32.exe
C:\WINDOWS\System32\Winregs32d.exe
C:\WINDOWS\system32\mscfg.dll

Warte dann auf weitere Anweisungen ab.

So Mail ist raus! Ich hoffe es hilft was weiter!

Danke schon mal

@Orchidee76

du kannst sie auch hier online überprüfen lassen
http://virusscan.jotti.org/de

chaosman

Lösche diese Dateien im abgesicherten Modus:

C:\WINDOWS\System32\calc32.exe
C:\WINDOWS\System32\Winregs32d.exe
C:\WINDOWS\system32\mscfg.dl

Fixe mit HijackThis dies:

O2 - BHO: Microsoft Configuration - {40205287-E793-41AC-B95C-D8D064BA33CA} - C:\WINDOWS\system32\mscfg.dll
O4 - HKLM\..\Run: [Microsoft Windows Calculator] calc32.exe
O4 - HKLM\..\Run: [Registry Checkup System32 Monitor] Winregs32d.exe
O4 - HKLM\..\RunServices: [Registry Checkup System32 Monitor] Winregs32d.exe
O4 - HKCU\..\Run: [Microsoft Windows Calculator] calc32.exe
O4 - HKCU\..\Run: [Registry Checkup System32 Monitor] Winregs32d.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/gam...ts/y/pote_x.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

Da es sich bei den Dateien um gefährliche Backdoors handelt, würde ich dir jedoch dies empfehlen:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten