Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe! (https://www.trojaner-board.de/9703-hilfe.html)

Mein pc scheint ganz verseucht zu sein kann mir bitte einer sagen was ich machen soll?

hier is log file:

Logfile of HijackThis v1.98.2
Scan saved at 10:31:23, on 17.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svcmon.exe
C:\WINDOWS\System32\msdev.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\list.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\TuneUp Utilities 2004\SystemOptimizer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKLM\..\Run: [window2] svcmon.exe
O4 - HKLM\..\Run: [msdev] msdev.exe
O4 - HKLM\..\Run: [mspaint.exe] C:\WINDOWS\list.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKLM\..\RunServices: [window2] svcmon.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [window2] svcmon.exe
O4 - HKLM\..\RunOnce: [msdev] msdev.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKCU\..\Run: [window2] svcmon.exe
O4 - HKCU\..\Run: [msdev] msdev.exe
O4 - HKCU\..\RunOnce: [window2] svcmon.exe
O4 - HKCU\..\RunOnce: [msdev] msdev.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...676fd4c28c535f
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100643268341
O17 - HKLM\System\CCS\Services\Tcpip\..\{57869BD4-B963-432F-9FF9-63802453B084}: NameServer = 217.237.150.97 217.237.149.161

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000

Du musste dein Betriebssystem regelmäßig mit den erhältlichen Sicherheitspatchen versorgen, sonst bleiben unnötige Angriffsflächen bestehen.

Diese Prozesse:

O4 - HKLM\..\RunServices: [Registry Checkup System32cd Monitor] Winregs32cdn.exe
O4 - HKLM\..\RunServices: [window2] svcmon.exe
O4 - HKLM\..\RunServices: [msdev] msdev.exe
O4 - HKLM\..\RunOnce: [window2] svcmon.exe
O4 - HKLM\..\RunOnce: [msdev] msdev.exe

sind mit ziemlicher Sicherheit alle Schädlinge, ich tippe auf Bots. Teste diese Dateien hier: http://virusscan.jotti.org/de
und schicke sie in einem Zipfile und mit einem Link zu diesem Thread an: partytime-germany.ice@web.de

hmmm, muss ich einfach zb. Winregs32cdn.exe und dann submit oder muss ich schon die datei suchen? Weil wenn ich sie einfach reinschreibe krieg ich das hier: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file. Und wenn ich sie suchen muss wüsste ich net wo ich sie finden kann :heulen:

Du musst bei Durchsuchen direkt auf die Datei verweisen, sie also auswählen und dann auf "submit" gehen. Die Pfade zu einigen stehen oben dabei:

C:\WINDOWS\System32\svcmon.exe
C:\WINDOWS\System32\msdev.exe
C:\WINDOWS\list.exe (die auch überprüfen, hatte ich vorhin nicht mit aufgeführt)

Die anderen müsstest du mit der Windowssuche ausfindig machen, vorher aber:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

achso, ok danke werde es direkt machen wenn ich zu hause bin ^^

ich hab die dateien die du mir sagtest gefxed mit hijackthis und siets so aus:

Logfile of HijackThis v1.98.2
Scan saved at 16:14:36, on 17.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...676fd4c28c535f
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1100643268341
O17 - HKLM\System\CCS\Services\Tcpip\..\{57869BD4-B963-432F-9FF9-63802453B084}: NameServer = 217.237.150.97 217.237.149.161

Hast du sie denn online getestet und per mail verschickt? Beim Fixen waren wir noch nicht...du musst als erstes mal dein Windows updaten und zwar schnellstens. Falls es sich bei den Schädlingen um das handelt, was ich vermute, wäre eine Neuinstallation der sicherste Weg:

http://board.protecus.de/showtopic.p...me=1097944155&

Also erst ma alles updaten und dann nochma scannen?

Hast du die Dateien bei jotti getestet und sie verschickt oder nicht?
Wenn du sie mit Hijackthis gefixed hast und nicht gelöscht hast, sind sie noch da, also such sie und mach das mal.

C:\WINDOWS\Prefetch\Winregs32cdn.exe The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
C:\WINDOWS\System32\svcmon.exe INFECTED/MALWARE
C:\WINDOWS\System32\msdev.exe INFECTED/MALWARE
C:\WINDOWS\list.exe INFECTED/MALWARE

die letzten 3 hab ich abgeschickt, aber wenn du meinst ich sollte windows neu installieren dann mach ich das....

Steht denn auch dabei WOMIT sie infiziert sind?

Ich denke, es sind Bots, die anderen Zugriff auf dein System erlaubt haben, daher wäre eine Neuinstallation der beste Weg. Geh dabei bitte nach der oben verlinkten Anleitung vor, damit du nicht mit einem nackten System online gehst. Auch die weiterführende Lektüre für die Zukunft lesen und umsetzen.