ipp&myu dazu probs wie rattenschwanz
 

Hallo meine RETTER!!!! :bussi:

eigendlich haben ich und mein rechner nie probleme, da ich mein babe in & auswendig kenne(prozesse,Dateien und was alles dazu gehört)... doch nun zickt se immer rum!! irgendwann kreigen se einen immer :lmaa:
ich habe seit zwei tagen prozesse festgestellt die vorher nicht da waren, und die mit meinen progs nix zu tun haben:
ipp.exe (überwachung, saß im system32) habe ich abtöten können
myu.exe(eingabe überwachen:senden,Sitzt im system32)stillgelegt aber immer noch im sys32!!

dazu kommt das ich start;programme; haufenweise dateien habe filldata von 176-204, *wunder* ich habe damit nix zu tun :crazy: !!!
meine kiste ist so langsam geworden das ich mir, wenn ich den rechner anmache in der zeit nochmal einkaufen gehen könnte!! :pfui:


*ich will euch aber warnen ich habe keine ahnung von hijack darum bitte ich euch um genaue erklärung wie mr jack funZt.....

ICH HOFFE SEHR DAS IHR MEINEM BABE HELFEN KÖNNT!!! :huepp:

*hab mich malschlau gemacht hier nun mr. jack:(ich hoffe es ist so richtig)

Logfile of HijackThis v1.99.1
Scan saved at 21:01:23, on 10.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\myu.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\System32\ZoneLabs\isafe.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\phonostar\ps_radio.exe
C:\Programme\phonostar\ps_olect.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\DOKUME~1\NIHALV~1\LOKALE~1\Temp\Rar$EX00.159\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_fram0e.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Mai00un,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Mainuuu,Start Page = http://runonce.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/...ch/search.html
R1 - HKCU\Software\Microsoft\Internuuuet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/...w.yauuuhoo.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Windows ASN Service] myu.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\RunServices: [Windows ASN Service] myu.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [LDM] \Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [NBJ] "C:\PROGRA~1\Ahead\NEROBA~1\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_0
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...zukab31267.cab
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.z.com/bin/free/cm/ICSCM.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.mukl,sn.com/bi...o.cab32846.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary...ab39971267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...3127o56367.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6F206A6D-5DCD-44E4-AAD5-395BDB6A642D}: NameServer = 195.50.140.252 145.253.2.196
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\System32\ZoneLabs\isafe.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,

warum versorgst du dein "Babe" dann nicht mit den aktuellen Sicherheitsupdates?

C:\Windows\System32\myu.exe ist ihmo ein Bot. Überprüfe die Datei online bei http://virusscan.jotti.org/de und poste das Ergebnis.


*EDIT*
Es ist ein Bot -> http://www.sophos.de/virusinfo/analy...2agobottc.html

=> Als einzig vernünftige Lösung bleibt dir nur das:
"System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern".


*EDIT #2*
Gruß an 'dartus' ;)

Hallo nihal,

der ist in Deinem System:
http://www.sophos.de/virusinfo/analy...2agobottc.html

Grund für den Befall ist Dein nicht aktuelles Betriebssystem, SP 2 und alle weiteren Sicherheitsupdates müssen istalliert sein!

Bei einem Trojaner mit Backdoorfunktionalität wird Dir dringend zur Neuinstallation geraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Botnet
http://de.wikipedia.org/wiki/Backdoor

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

dartus

EDIT: Hallo Haui45

Kennst du dich mit der Wiederherstellungskonsole von windows aus? so hab ich meine wiedersacher erledigt.

du nimmst die produkt recovery cd von XP legst sie ein und startest neu.

du lädst von der cd und startest die wiederherstellungskonsole. dann meistens die R - Taste dafür drücken.

nun meldest du dich in der windows version an. eigentlich "1" und "enter" drücken. du müsstest in c:\windows sein.

tippe jetzt folgendes ein:

cd system32 "enter-taste"

delete myu.exe "enter-taste"

exit "enter-taste"

damit müsste er erledigt sein. durchsuche nun noch deine registry unter start, ausführen: regedit "OK" suche nach myu.exe oder nur myu.

lösche diese einträge. damit solltest du von ihm befreit sein.

Überprüfe dein system auch nochmal auf ein backweb.exe prog unter c:/programme! ist mir nicht geheuer!

tip: du brauchst service pack2. hoffentlich ist das ne legale version von xp, dann holst du dir über das sicherheitscenter die neuesten updates für XP.

Und von "System neu aufsetzen" halte ich nicht viel. Was auf einem rechner installiert wurde, kann man auch deinstallieren!!

Es ist egal, was du davon hältst, es ist der EINZIGE sichere Weg!
Anders kannst du die Vertrauenswürdigkeit des Systems nicht wieder herstellen.

Bitte lesen:
http://oschad.de/wiki/index.php/Kompromittierung
http://www.mathematik.uni-marburg.de...c-removal.html
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Dickes knutschi!!!! :party:

vom sp2 habe ich nicht so viel gehalten, hatte das als ich xp home edition dauf hatte und hab nur probleme damit gehabt,dachte mit xp prof.... bräuchte ich dat nich.... aber weit gefehlt,hm?!

muss ich wohl runter reißen!!

sagt mal welches vierentool ist empfehlenswert? ich meine klar jeder hat so sein favoriten, aber würde mich mal interessieren....

also nochmal vielen dank mädels!! ;-)
:lach:

sorry, hab was vergessen, ich hatte vor ner woche ca. ein backup gemacht.... was meint ihr soll ich das kicken!!! kann ich kontrollieren ob es sauber ist.... nicht das ich damit wieder alles schmutzig mach*grinZ*

@haui

Auslastung:
0% 100%
Datei: myu.exe
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
ARMADILLO

AntiVir
Worm/Rbot.XN gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Backdoor.Win32.Rbot.xn gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VBA32
Backdoor.Win32.Rbot.xn gefunden

Wie schon gesagt, neu aufsetzen nach Anleitung.