Trojaner, Wurm oder nicht?
 

Hallo erstmal,

seit einiger zeit plagen mich immer wieder automatische Neustartmeldungen nach hochfahren des Betriebsystemes (WinXP). Remoteprozeduraufruh unerwartet beendet. Ihr kennt das sicher von Würmern usw. Das Komische ist aber, dass ich diese Meldung nur vll. alle 10mal starten bekomme (max.). Als ich am Anfang dieses Problem hatte, hatte ich den Wurm Flood.L (laut Antivir) wurde aber korrekt entfernt. Seitdem mach ich imemr wieder Checks, aber er findet nix mehr.
Wenn ich Computerspiele minimiert er auch ab und zu automatisch, weiß aba nich ob das daher kommen kann.

Danke für Antworten
killver

Ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Logfile of HijackThis v1.98.2
Scan saved at 13:55:04, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\mIRC\mirc.exe
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\DOKUME~1\snider\LOKALE~1\Temp\Rar$EX00.734\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Reboot.exe
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

Besorge dir zunächst dieses Programm:

http://www.cexx.org/lspfix.htm


E-Scan herunterladen und updaten:

http://www.trojaner-board.de/42731-escan-anleitung.html

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html


Beende diese Prozesse mit dem Taskmanager:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe

Fixe mit Hijackthis:

C:\Programme\OutLaster\shhost.exe
C:\Program Files\webHancer\Programs\whAgent.exe
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6
O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


Fixe dann mit LSPfix:

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by WebHancer
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by WebHancer




Boote in den abgesicherten Modus:

http://www.trojaner-board.de/63335-w...s-starten.html

lösche die in den Einträgen genannten Dateien (exe + dll) lass E-Scan wie oben beschrieben

durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste

es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

komischerweise finde ich die zwei dateien nicht im task manager

Hm, hast du schon irgendwas gelöscht inzwischen? Dann lass den Schritt mal weg und befolge den Rest.

ich hab nochmal hijack laufn lass und siehe da die sin wirklich nimma offen

hatte nun nur mehr diese sachen zum löschen:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet
O4 - HKLM\..\Run: [shhost] C:\Programme\OutLaster\shhost.exe
O4 - HKLM\..\Run: [webHancer Survey Companion] "C:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s


ehm und bei lsp fix sin nur 4 sachen drin

Stehen die 4 sachen auf der Remove-Liste? Dann entferne sie und erstelle ein neues Log.

so hab nu mal alles gemacht

Logfile of HijackThis v1.98.2
Scan saved at 15:35:32, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
D:\download\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

escan:

Wed Sep 15 15:22:45 2004 => Total Number of Files Scanned: 33646
Wed Sep 15 15:22:45 2004 => Total Number of Virus(es) Found: 10
Wed Sep 15 15:22:45 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Files Renamed: 9
Wed Sep 15 15:22:45 2004 => Total Number of Deleted Files: 0
Wed Sep 15 15:22:45 2004 => Total Number of Errors: 2
Wed Sep 15 15:22:45 2004 => Time Elapsed: 00:19:59
Wed Sep 15 15:22:45 2004 => Virus Database Date: 2004/09/08
Wed Sep 15 15:22:45 2004 => Virus Database Count: 103474

Wed Sep 15 15:22:45 2004 => Scan Completed.

Der ganze log is zu groß. Ein File warn backdoor

gebt mir mal ebscheid bidde

Ich bräuchte nicht das ganze Logfile, sondern die genauen Namen der Schädlinge.
Auch weiss ich immer noch nicht, was das ist:

O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup

Wie lautet der gesamte Pfad, kennst du das Programm zu dem er gehört?

Wenn du einen echten Backdoor hattest, wäre es das Klügste, dein System neu zu machen.

Ansonst muss das immer noch weg:

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net


Fixe es mit HJT (nach Deaktivierung der Systemwiederherstellung), falls es danach Probleme mit dem Netz gibt, nochmal lspfix verwenden.

http://www.handybits.com/

daher is die datei

Wed Sep 15 14:35:55 2004 => File C:\Programme\OutLaster\shhost.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:46 2004 => File C:\PROGRA~2\WEBHAN~1\programs\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\PROGRA~2\WEBHAN~1\Programs\whAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:47 2004 => File C:\Dokumente und Einstellungen\snider\Startmenü\Programme\Autostart\Reboot.exe tagged as not-a-virus:RiskWare.Tool.ExitWin.b. No Action Taken.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 14:38:57 2004 => File C:\WINDOWS\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:45 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\ol-setup5.exe infected by "Backdoor.Win32.Blarul.d" Virus. Action Taken: File Renamed.

Wed Sep 15 15:06:46 2004 => File C:\Dokumente und Einstellungen\snider\Lokale Einstellungen\Temp\nsf3.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:07:19 2004 => File C:\Program Files\webHancer\Programs\whSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:58 2004 => File C:\Programme\whInstall\Webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:10:59 2004 => File C:\Programme\whInstall\WhSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: File Renamed.

Wed Sep 15 15:21:11 2004 => File C:\WINDOWS\system32\Tools\Restart.exe tagged as not-a-virus:RiskWare.Tool.Destart. No Action Taken.

so das is alles

Erstelle und poste mal ein neues HijackThis-Log.
Da du einen aktiven Backdoor auf dem System hattest, solltest du dir überlegen, ob eine Neuinstallation nicht sinnvoller wäre.

Aber Hallo, man kann/ soll doch nicht bei jedem Trojanerbefall, gleich ein neues OS aufsetzen, denn, wie Ihr sagt, gibt es doch so viel Möglichkeiten, das Ding loszuwerden und die sollte man auch nutzen!
LG; Charlie

Schau dir ein paar Threads an und les dir mal die empfohlenen Lektüren bezüglich Backdoors durch.

Ja, nun was soll ich sagen, habe mir alle zugänglichen Trojaner, wie Sub7, Net-Divel, Optix, MoSucker, Assain, usw., besorgt, habe mich wissentlich damit infiziert und alle wieder weg bekommen, zu „fuß“! und das, ohne ein neues OS aufzusetzen.
LG; Charlie
Nachtrag; bei Beast, war es nicht so einfach.

Wenn auf einem System einmal ein Schädling aktiv war, der einem Angreifer die Möglichkeit zur Manipulation desselben mit Administratorrechten gegeben hat, ist es unmöglich, mit Hilfe von noch so vielen Programmen eine definitive Säuberung des Systems zu gewährleisten (zumindest nicht für den normalen Anwender). Man kann sich natürlich über die Wahrscheinlichkeit streiten, mit der eine besonders schwer zu findende Veränderung stattgefunden hat, aber, wie gesagt, für die Wiedererlangung eines 100% schädlingsfreiens Rechners gibt es für den Normaluser nur die Neuinstallation. Es kann durchaus sein, dass ich den erkannten Trojaner mit dem Virenprogramm restlos beseitige, was er aber eventuell während seiner Tätigkeit nachgeladen hat, weiss ich erstens nicht und es kann auch gezielt versteckt sein. Diese Unsicherheit bleibt bestehen, wenn ich das System weiterverwende.


Was Killver betrifft, wäre ich mir jetzt auch nicht so sicher, da ich keine genauen Infos über die Möglichkeiten von "Backdoor.Win32.Blarul.d" habe.
Hast du die
O10 - Hijacked Internet access by New.Net

Einträge denn nun wegbekommen? Wie sieht das aktuelle Log aus?

Wenn du selbst genau weisst, wonach du suchst, und was du gemacht hast, kann man das doch nicht mit der Situation eines fremden PC´s vergleichen. Wie willst du denn bitteschön über ein Forum den Rechner eines Nutzers soweit testen können, um das auszuschließen, vor allem wenn du, wie gesagt, eben NICHT weisst, was auf dem Rechner ist. Experten können sicher auch Rootkits aufspüren und entfernen, das ist für die Zusammenhänge, um die es hier geht, doch aber völlig illusionär, wo viele ja schon vor einer Neuinstallation Angst haben, die aber bei einer Kompromittierung eben der einfachste Weg ist.

Ja, recht hast du, denn Rootkits, sind eine andere „Baustelle“, denn die von der Platte zu bekommen, ist nicht einfach, aber es geht, auch ohne, dass OS neu aufzusetzen.
LG Charlie

Das ist ja leider das Problem, man weiss ja dummerweise nicht, was eventuell durch den ursprünglichen Trojaner geladen wurde. :/ Richtige Rootkits werden sicher nicht die Regel sein und natürlich sage ich nicht, dass jemand hier einen infizierten Rechner auf KEINEN FALL mit 2 Virenscannern, Adaware und HJT faktisch sauber bekommen kann, auch nach Agobot oder Sd.bot und Konsorten, aber garantieren kann man das nicht, man weiss ja in den meisten Fällen nicht mal, wie lange der backdoor überhaupt da war.

Aber zu dem Thema wirds immer unterschiedliche Meinungen geben, ich will meine da auch nicht zur absoluten Wahrheit erheben. :) Ich denke halt, bei einem aktiven Backdoor mir Remotezugriffsmöglichkeiten, sollte man lieber auf Nummer sicher gehen und ausgehend von einem frischen System dann auch eventuell nötige Änderungen in Surfverhalten und Konfiguration empfehlen. Sooooo kompliziert und langwierig ist die Neuinstallation bei XP ja nun eigentlich auch nicht mehr, wenn man die wichtigen eigenen Daten vorher sichern kann und für die meisten "Patienten" hier, denke ich, auch immer noch einfacher.

Natürlich ist ein neues OS aufsetzen immer die radikalste und sauberste Lösung, aber mein Dozent vor Jahren, sagte immer, dass mache erst wenn gar nichts mehr geht, auch bei Kunden, damit meine ich „richtige“ Kunden, nicht das ein falscher Eindruck entsteht!
Technisch und zeitlich gesehen, ist das Aufsetzen eines neuen OS ja wirklich kein Problem, geht schneller als eine ordentliche Prüfung, aber nicht jeder Kunde hat wirklich alle wichtigen BA’s.
Und ich selbst mache es bei mir sehr ungern, denn irgendwas habe ich immer vergessen und wenn es die Favoriten sind.
Liebe Grüße,
Charlie

aktueller hijack log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Karna\Razer\razertra.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
D:\download\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [razertra] C:\Programme\Karna\Razer\razertra.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\snider\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Edit with X&ML Spy - C:\Programme\Altova\XMLSPY2004\spy.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra 'Tools' menuitem: Edit with XML Spy - {2222EF56-F49E-4d07-A14E-8D2B08766958} - C:\Programme\Altova\XMLSPY2004\spy.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11
O17 - HKLM\System\CS1\Services\Tcpip\..\{21F478BE-2029-4696-93E2-6EB956CD183C}: NameServer = 62.218.195.10,62.218.195.11

Na wie siehts aus?

Meine Güte, hier bekommt man ja einen Augeninfarkt, brauchst du das wirklich alles?
Mal saubermachen wäre wirklich angesagt, ja!
Gehe noch mal mit Stinger und Ewido drüber, aber ich habe beim kurzem Überfliegen nichts aktives mehr gesehen, aber wie gesagt „Augeninfarkt“
Liebe Grüße,
Charlie

hmh ja brauch ich ;)

wo krieg ich stinger und ewido progs her?

@killver

Im Log seh ich eigentlich nix mehr.
Stinger würde ich hier nicht nehmen.
ewido ist ein freeware Malware-Scanner. Infos und Download: www.ewido.net

Hast du denn immernoch dein Problem?

Nun Ja, hast wie immer recht, Christian, denn Stinger macht erst mal die „neuen Dinger“ weg alte halt nicht, aber ein guter „Besen“ ist es doch besser als gar keiner, kann also nichts schaden, oder?
Ewido, ist besser als der Ruf, denn es wurde von den „PC-Zeitschriften- Machern“ nur oberflächlich getestet.
Ewido, extra noch mal drüber zu laufen lassen, kann bestimmt nichts schaden!
Florian, der da mitgewirkt hat, kennt die Trojaner! :crazy:
Liebe Grüße,
Charlie

Na, ich hab nicht immer Recht ...

Stinger erkennt nur sehr wenige Malware im Gegensatz zu diversen Scannern ...

Habe ich doch gesagt, nur die Neusten, ist das falsch?
Liebe Grüße,
Charlie

Naja, nur die neusten auch nicht gerade.
Da sind schon einige ältere dabei: http://vil.nai.com/vil/stinger/

Natürlich;


Stimmt, aber ich finde es einfach „Mist“ uns gegenseitig zu testen, was wir nun so „drauf“ haben, denn ich glaube, dass geht nur zu Lasten der Benutzer des Boards!
Denn, du hast deine Ansicht, ich habe meine, da kann man ja auch was zusammen machen? Oder nicht?
Liebe Grüße,
Charlie

Link angesehen, hast leider wieder mal recht!
Liebe Grüße,
Charlie :heulen:

War doch nicht bös gemeint.
Ich fordere doch hier auch keinen raus ....... oder hattest du den Eindruck?
:daumenhoc