|
Upload durch virus/trojaner blockiert Tagchen liebe Trojaner :D Als als erstes will ich mal sagen dass ich neu hier bin da ich bisher noch nie so einen harten virus hatte. Also es geht um folgendes seit ein paar tagen ist dass Internet sehr langsam, dann habe ich auf dem LCD von meiner Tastatur gesehen dass der Upload dauerhaft um ca. 18KB/s blockiert ist (DSL1000). jedoch hab ich kein Programm offen dass irgendwelche Daten sendet. Ausserdem hab ich einen NetLimiter der jedoch auch anzeigt dass ich nichts hochlade, also muss es womöglich ein Trojaner oder ähnliches sein. Ausserdem bekomme ich beim Starten von Windows meistens immer eine Meldung dass ein Trojaner entdeckt wurde und dieser dann aber auch gelöscht wurde. Immer im TEMP verzeichnis! Nun ich hoffe ihr könnt mir helfen, ich verzweifle schon... Hier mal der Hijack logfile: Logfile of HijackThis v1.99.1 Scan saved at 17:50:00, on 22.06.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\netdde.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_01\bin\jusched.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\WZShutdown\WZshutdown.exe C:\Programme\LcdStudio\LcdStudio.exe C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe C:\Programme\Mozilla Firefox\firefox.exe C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe K:\download\Firefox downloads\hijackthis_199(3)\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\WZshutdown.exe -hide O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\DOKUMENTE UND EINSTELLUNGEN\BESITZER\EIGENE DATEIEN\EIGENE BILDER\DELL IMAGE EXPERT BILDER\qttask.exe" -atboottime O4 - HKLM\..\Run: [LcdStudio] C:\Programme\LcdStudio\LcdStudio.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe" O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\System32\nmfsdxvq.dll",realset O4 - HKCU\..\Run: [AtiTrayTools] "C:\Programme\Ray Adams\ATI Tray Tools\atitray.exe" O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQPRO~1\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O15 - Trusted Zone: *.icq.com O15 - Trusted Zone: *.shizmoo.com O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2110a91c1d7f149b7a05/netzip/RdxIE601_de.cab O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} - http://shizmoo.com/activex/web665.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A5DFCB5D-86EB-430F-857D-B426150952A6}: NameServer = 192.168.2.1 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\SYSTEM32\ati2sgag.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe (file missing) O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe (file missing) O23 - Service: Windows - Unknown owner - C:\WINNT\srvany.exe (file missing) Vielen Dank im Vorraus... eLem3ntx |
Das ist unter anderem ein Vundo. Poste bitte dazu noch ein combofix report: Lade es von hier: http://download.bleepingcomputer.com/sUBs/ComboFix.exe starte es und bestaetige die abfrage mit 1 und Enter. Bitte waerend des Scanvorganges nicht in das Dosfenster klicken, bzw am besten nichts machen. Der Rechner wird einmal neu starten und dir dann einen Report anzeigen. Kopiere dieses bitte hier hinein. |
Zitat:
|
Ok ich hab dass DOS fenster jetzt ca. 1 stunde laufen lassen aber es geschah nichts, nur der explorer.exe ist verschwunden. Werde es aber morgen nochmals probieren. Und wegen dem Service Pack 2 -> Ich wollte es drauf machen doch dann kam eine Fehlermeldung darüber, dass irgendwas mit meinem Kernel nicht in ordnung wäre aber ich lad mir SP2 nochmals runter. Inzwischen habe ich aber schon über eine halbe stunde ohne dass Problem hier gelebt^^ Habe halt im hintergrund tausende Virenprogramme laufen, aber er findet immer und immer wieder einen... |
@eLem3ntx Zitat:
Zitat:
Ich würde mir das mit dem "Bereinigungsversuch" sparen, nicht mehr und nicht weniger ist es, ein Versuch. Stattdessen lieber klar Schiff machen, denn auch wenn augenscheinlich wirklich "Ruhe" herrschen sollte, Du wirst nie mit Sicherheit wissen, ob auch wirklich alles ok ist. In der Regel ist es das nicht, schon gar nicht mit so einem rückständigen Patchstand wie Du es hast, da ist Hopfen und Malz verloren. Hilfe: Ich wurde das Opfer eines Hackerangriffs. Was soll ich tun? – Microsoft TechNet: Rubrik Sicherheitsverwaltung Gruß |
Ok ich hab mich jetzt entschlossen das System neu aufzusetzen, jedoch kommt nun ein großes Problem, denn wenn ich von der Windows XP CD Boote, dann wird zunächst die Hardware konfiguration gescannt, doch dann kommt im BIOS die Fehlermeldung dass die datei dtscsi.sys beschädigt sei und somit komm ich nicht mal in dass Formatierungs menu :heulen: Was kann ich jetzt noch machen? Gibt es externe Formatierungs methoden? Please help me :D |
@eLem3ntx Die Datei "dtscsi.sys" gehört zu einem Daemon-Tool, das Du Dir irgendwann mal installiert haben mußt. Leider kann ich in Deinem Logfile nicht auf Anhieb erkennen, um was für ein Tool es sich handelt. (Alcohol etc. ?) Ich würde mal über den abgesicherten Modus booten, dann in Systemsteuerung reingehen, und dann in Software, dort mal gucken, ob es da sowas gibt. Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board