Forum
Tipps
News
Menu-Icon

Nach (?) Backdoor Befall, Probs mit Inet Verbindung

OS: Win XP
Browser: IE 6.0

Guten Tag,

habe mir vor einigen Tagen einige Trojaner bzw. Backdoor Programme eingefangen. Dazu gehörten unter anderem Backdoor.SDBot.Gen, sk socket 108, Backdoor.Rbot.gen usw. zumindest wurden mir diese Namen immer wieder als Gefahrenquelle ausgespuckt bei den laufenden Virenprogrammen.

Nach viel lesen (vor allem hier) und etlichen Virenprogrammen und Spyware Programmen, die cih nach und nach an den Start ließ, bringt mir nun mittlerweile kein Programm mehr eine Fehlermeldung. Laut den Programmen bin ich jetzt also Trojanerfrei (bzw. was da noch so drauf war (?) bzw. ist).

Irgendwie habe ich aber das starke Gefühl das hier etwas ganz und gar noch nicht stimmig ist. Seit dem Befall ist meine Internetverbindung nämlich "kaputt".

Ich hab DSL also einen Upload von ca. 16 kb. Diesen Upload kann ich aber nur noch bedingt nutzen. Meist sind nur 4-5 kb drin, manchmal sogar gar nichts. Die ganzen Seiten bauen sich nur noch langsam auf bzw. teilweise passiert es sogar, daß meine Verbindung noch steht, der Browser aber nichts mehr öffnen kann (egal welchen ich nutze, hab mehrere drauf). Kriege dann, egal was ich öffne, die hübsche "Serer nicht gefunden" Meldung obwohl ich defintiv noch im Netz bin.

Das was mich vor allem stutzig macht, mein eigener privater Upload tendiert gegen 0 (jetzt z.B.) aber wenn ich mir diese Internetmonitore anklicke (also die Eigenschaften für die aktuelle Verbindung) dann sehe ich meinen Upload ziemlich rasen. Als wenn im Hintergrund irgendwelche Uploads ausgeführt werden.

Wie gesagt ich habe zich Virenscanner etc. benutzt, mittlerweile behaupten aber alle, daß mein System sauber sei.

Habe mal dieses hjackthis Programm geladen weil ich gesehen hab das hier immer danach gefragt wird. Kann selber mit vielen Sachen da drin leider wenig anfangen. Bin leider eher Laie im PC Bereich. Ich kopiere euch mal den Log und hoffe das mir evtl. jemand helfen kann. Würde sehr sehr ungern formatieren weil ich einfach zuviele Datenmengen auf dem PC hab, was das brennen zeitraubend und auch nicht ganz billig macht.

Hoffe ihr könnt mir evtl. weiterhelfen.

MfG Heiko

Anhang:

Logfile of HijackThis v1.98.0
Scan saved at 03:28:23, on 01.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\msework.exe
C:\WINDOWS\System32\get.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msconfg.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\windows\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\eMule\emule.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Modi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=2540
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
O1 - Hosts: p
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\Run: [Background Intelligent Transfer Service] C:\WINDOWS\help\rundll32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mswkork Service] msework.exe
O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
O4 - HKLM\..\Run: [Internet Explore Updates] get.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [mswkork Service] msework.exe
O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
O4 - HKLM\..\RunServices: [Internet Explore Updates] get.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2 (Trojanerscan)\a2guard.exe"
O4 - HKCU\..\Run: [mswkork Service] msework.exe
O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
O4 - HKCU\..\Run: [Internet Explore Updates] get.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra 'Tools' menuitem: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B43892FE-9698-4643-A17B-DF963A1A247C}: NameServer = 217.237.150.225 194.25.2.129
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL



Antworten zu Nach (?) Backdoor Befall, Probs mit Inet Verbindung:

Bin natürlich nicht befreit. Hab einen Onlinecheck einzelner Dateien gemacht und dabei herausgefunden, daß folgende Datei C:\WINDOWS\System32\msconfg.exe auf jeden Fall noch infiziert ist. Habe den Kaspersky Onlinecheck benutzt, seltsamerweise findet das Programm von Kaspersky auf meinem Rechner, aber nix mehr.

Hab die Datei erst einmal gelöscht, aber irgendwie hab ich das dumme Gefühl das bringt mir nicht wirklich viel. Also das wird doch sicher wieder irgendwie aktiv werden, spätestens nach dem nächsten Neustart. Außerdem denke ich mal das das nicht alles sein kann, vor allem weil die Datei sich problemlos löschen ließ (eine aktive Datei mault doch immer und irgendwas muß bei der schlechten Verbindung aktiv sein).

Hab mir jetzt eine Firewall davorgeknallt, die meldet ganz schön viele Versuche von Systemdateien, wie z.B. svchost.exe, nach draußen zu telefonieren. Laut dem Onlincheck ist die Datei aber nicht befallen.

Dann werden noch Dateien gemeldet, deren Aufenthaltsort ich nicht finden kann. Bevorzugt zwar alle im System32 Ordner, aber teilweise gibt es die Dateien dort einfach nicht (habe die versteckten naürlich auch anzeigen lassen). Auch der ntoskernl (oder so ähnlich) will immer in`s Netz, seltsamerweise kriege ich bei dem sogar beim PC Hochfahren oft eine Anzeige das er beschädigt ist (ein weiterer Neustart reicht aber meist wieder das die Anzeige nicht mehr kommt).

Mit Firewall hab ich wieder normale Geschwindigkeit, würde aber natürlich trotzdem gerne die ganzen ungebetenen Gäste entfernen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

fixen kannst du (in Hijackthis)

O1 - Hosts: p

R0+R1 falls nicht selbst gewünscht,

O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe

O16 - DPF: {4C226336-4032-489F-9674-67E74225979B} (OTXMovie Class) - http://www.otxresearch.com/OTXMedia/OTXMedia.dll

Dann probier mal nochmal und vor allem beende alle laufenden Programme. Da läuft ja noch soviel im Hintergrund. Evtl. neuen Scan.

Lass erstmal die Tool hier unter 3. im abges.-Modus drüberlaufen:
http://www.computerhilfen.de/hilfen-17-30578-0.html

Dann kannste nochmal ein LOG machen.

Gruß

Hatte die Programme bereits durchlaufen lassen, habe es aber nochmal getan. Natürlich alle im abgesicherten Modus.

Meine Firewall meldet mir das die Datei "Winupdt.exe" immer versucht rauszutelefonieren. Im System32 Ordner ist die Datei aber nicht mehr vorzufinden. Nach jedem Neustart sagt mir die Firewall, daß die Datei verändert wurde. Das Fixen mit Hijackthis hat auch nichts daran geändert das sich diese Datei immer wieder neu einlädt.

Hab jetzt versucht wirklich alles zu schließen, alles was sich jetzt im Log befindet, ist nicht absichtlich drin und ich weiß nicht was es ist. Alle offensichtlich laufenden Programme habe ich beendet.


Logfile of HijackThis v1.98.0
Scan saved at 17:16:45, on 02.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\msework.exe
C:\WINDOWS\System32\wssvr.exe
C:\WINDOWS\System32\get.exe
C:\WINDOWS\System32\exploirez.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ethernet32m.exe
C:\WINDOWS\System32\winupdt.exe
C:\WINDOWS\System32\mswork.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Modi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=2540
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [eDonkey2000] C:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSN Update] dllcon.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\Run: [Background Intelligent Transfer Service] C:\WINDOWS\help\rundll32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [mswkork Service] msework.exe
O4 - HKLM\..\Run: [Microsoft Update] wssvr.exe
O4 - HKLM\..\Run: [Internet Explore Updates] get.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [mswork Service] mswork.exe
O4 - HKLM\..\Run: [DC33B238] C:\WINDOWS\System32\xlpbwwkfd.exe
O4 - HKLM\..\RunServices: [MSN Update] dllcon.exe
O4 - HKLM\..\RunServices: [Microsoft Features] ms32cfg.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [mswkork Service] msework.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wssvr.exe
O4 - HKLM\..\RunServices: [Internet Explore Updates] get.exe
O4 - HKLM\..\RunServices: [Microsofts Updatez] exploirez.exe
O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [mswork Service] mswork.exe
O4 - HKLM\..\RunServices: [C4EE0255] C:\WINDOWS\System32\xlpbwwkfd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSN Update] dllcon.exe
O4 - HKCU\..\Run: [Microsoft Features] ms32cfg.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Time] wuam.exe
O4 - HKCU\..\Run: [a²] "C:\Programme\a2 (Trojanerscan)\a2guard.exe"
O4 - HKCU\..\Run: [mswkork Service] msework.exe
O4 - HKCU\..\Run: [Microsoft Update] wssvr.exe
O4 - HKCU\..\Run: [Internet Explore Updates] get.exe
O4 - HKCU\..\Run: [Microsofts Updatez] exploirez.exe
O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe
O4 - HKCU\..\Run: [mswork Service] mswork.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra 'Tools' menuitem: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL


Biste sicher das du Escan und sysclean laufen hast lassen und auch upgedatet so wies beschrieben wurde?

Kann ich fast nicht glauben so wie dein Log auschaut.

Gruß

hi,
hier kannst du schon mal selbst eine auswertung vornehmen.
http://www.hijackthis.de/

Holla,

ich hab tatsächlich einen Fehler gemacht. Hatte gedacht das eScan das Selbe wie Sysclean ist. Außerdem hatte ich von Sysckean ne falsche Version am Laufen. Auf jeden Fall, mein Log sieht jetzt sehr viel besser aus. Laut der Auswertung (vielen Dank für den Online Hinweis) ist nix Böses mehr dabei. Vorher hab ich ja richtig Angst gekriegt, da war alles voll mit dem Mist.

Ich kopier nachher mal den Log, meint ihr ich bin jetzt wirklich richtig clean?

Auf jeden Fall vielen Dank für die Hilfe.

Abschließend nochmal ein paar Fragen. Mir wurde verdammt häufig eine Virus Datei namens "Win32.Parasite.b" sowie "Pe_Parasite.A" angezeigt. Seltsamerweise aber in Dateien die sauber sein müßten. Unter anderem wurde die .exe eines Virusprogrammes als infiziert gemeldet. Wie kann das sein? Evtl. Fehler beim Scan? Es wurden einige .exe Dateien gemeldet die ich ebenso für 100% sauber halte, außer ein Virus kann saubere Dateien befallen.

Logfile of HijackThis v1.98.0
Scan saved at 21:23:28, on 02.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\mswork.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Modi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=2540
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennprogramme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [mswork Service] mswork.exe
O4 - HKLM\..\RunServices: [mswork Service] mswork.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [a²] "C:\Programme\a2 (Trojanerscan)\a2guard.exe"
O4 - HKCU\..\Run: [mswork Service] mswork.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra 'Tools' menuitem: ShockBar starten - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Dokumente und Einstellungen\Modi\Desktop\surfbar.exe (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\Chat\ICQ\ICQ.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\MSERO.DLL

Schaut bis auf die mswork.exe gut aus.
Die würd ich mal Online bei Kaspersky checken lassen, link steht auch in dem Link wo die Tools warn.

Und Viren können natürlich jede Datei infizieren auch Virenscanner, sind ja auch nur Dateien.

Du meintest wahrscheinlich Parite.A/B das isn exe-virus drum auch sysclean das is ne com-datei die wird nicht befallen.

Wenn dein Virenscanner infiziert war, solltest den auf jedenfall neu installieren.

Gruß

« Letzte Änderung: 02.08.04, 22:06:36 von Nighty »

Das Problem mit der mswork.exe ist, sie ist nicht auffindbar. Laut Check sollte sie im System32 Ordner sein, ist sie aber nicht, daher kann ich sie nicht checken lassen. Weder per Windows Suche, noch per Hand, absolut nicht auffindbar (war bei einigen anderen Dateien vorher auch so, die wurden aber dank der Scanner gelöscht).

Gut das du mir das sagst bzgl. der .exe Dateien, ich wußte nicht das ein Virus sich einfach so in andere bestehende Dateien reinschreiben kann. Löschen braucht man die Dateien aber nicht, wenn der Scanner sagt er hat sie wieder gesäubert, richtig? Bisher dachte ich das ein Virus nur Dateien erzeugen und sich selbst in RegDateien festsetzen kann. Das aber auch bestehende Dateien umgeschrieben werden, war mir neu. Hatte mich seit 486er Zeiten damit nicht mehr beschäftigt weil ich bisher drauf geachtet hatte nichts gefährliches zu laden. Bis jetzt eben. War aber ganz gut, dadurch hab ich wenigstens mal das ganze System auf Herz und Nieren geprüft.

Gruß und nochmal Danke
Hotte

Taucht die msworks denn jetzt immer noch im LOG auf?

Wenn ja bootem mit der CD und starte von dort die wiederherstellungskonsole->als Admin anmelden in den system32-Ordner wechseln ( cd c:\windows\system32 )
und schau ob du sie dort findest: dir ms*.exe

Wenn ja löschen mit: del mswork.exe

Aso auf die Säuberung der Datein würd ich mich bei Virenscannern nicht verlassen.
Den würd ich Sicherheitshalber neu installieren, gleiches Spiel mit der Firewall.
Aber mal davon abgesehn, wenn du trotz Virenscanner so viel Zeuchs drauf hattest würde ich den Scanner wechseln.

Gruß

« Letzte Änderung: 02.08.04, 23:01:49 von Nighty »

Ja, die Datei taucht noch immer auf.

Han die Wiederherstellungskonsole gestartet, wurde aufgefordert mein Kennwort einzugeben. Hab das Kennwort meines Adminaccounts eingegeben. Problem ist das mein Account mit Adminrechten den ich benutze, nicht der Adminaccount an sich ist. Deshalb wurde das PAsswort auch nicht angenommen. Der eigentliche Adminaccount (der irgendwie scheinbar versteckt existiert) hat keine Passwortsicherung. Daher hab ich dann auch nur einfach Enter gedrückt und dann ging es scheinbar. Möchte bloß extra drauf hinweisen weil evtl. das spätere Problem damit zusammenhängt. Bin zwar der Meinung als Admin eingeloggt zu sein da es auch keine Fehlermeldung gab und der Account eben kein Pass hat, aber sicher ist sicher.

Ok, die Datei wird mir hier angezeigt (mit dem Dir Befehl). Ich kann sie aber nicht löschen. Ich kriege die Fehlermeldung "Zugriff verweigert".

Auffallend ist auch noch das irgendwelche Buchstabenbezeichnungen von den anderen Namen abweichen.

Die anderen Dateien unter ms* haben die Bezeichnung (Seriennummer oder was weiß ich) -a------ die Datei mswork hat aber die Bezeichnung -arhs--- (und das als einzige Datei). Die Größe beträgt 330318 (Byte?) und sie ist damit größer als alle anderen ms* Dateien.

Hoffe das die Infos evtl. etwas behilflich sind.

Gruß Hotte

Übrigens versucht sich die Datei, laut meiner Firewall, immer mit der Adresse (die beim browsen nicht existent ist) wowcool.ath.cx zu verbinden. Es wird mir von der Firewall ebenso gesagt, daß das Remote Port 6667 (IRCU - IRCU) dazu genutzt werden soll.

Ich kopiere mal das gesamte Protokoll zum Versuch, hoffe das ist ok.


File Version :      
File Description :   C:\WINDOWS\system32\mswork.exe
File Path :      C:\WINDOWS\system32\mswork.exe
Process ID :      0x77C (Heximal) 1916 (Decimal)

Connection origin :   local initiated
Protocol :      TCP
Local Address :    217.237.53.9
Local Port :      3602
Remote Name :      wowcool.ath.cx
Remote Address :   216.218.242.189
Remote Port :       6667 (IRCU - IRCU)

Ethernet packet details:
Ethernet II (Packet Length: 80)
   Destination:    01-00-20-00-01-00
   Source:    00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
   Version: 4
   Header Length: 20 bytes
   Flags:
      .1.. = Don't fragment: Set
      ..0. = More fragments: Not set
   Fragment offset:0
   Time to live: 64
   Protocol: 0x6 (TCP - Transmission Control Protocol)
   Header checksum: 0xeb17 (Correct)
   Source: 217.237.53.9
   Destination: 216.218.242.189
Transmission Control Protocol (TCP)
   Source port: 3602
   Destination port: 6667
   Sequence number: 3916406652
   Acknowledgment number: 0
   Header length: 32
   Flags:
      0... .... = Congestion Window Reduce (CWR): Not set
      .0.. .... = ECN-Echo: Not set
      ..0. .... = Urgent: Not set
      ...0 .... = Acknowledgment: Not set
      .... 0... = Push: Not set
      .... .0.. = Reset: Not set
      .... ..1. = Syn: Set
      .... ...0 = Fin: Not set
   Checksum: 0x9463 (Correct)
   Data (0 Bytes)

Binary dump of the packet:
0000:  01 00 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | .. ...........E.
0010:  00 34 48 4A 40 00 40 06 : 17 EB D9 ED 35 09 D8 DA | .4HJ@[email protected]...
0020:  F2 BD 0E 12 1A 0B E9 6F : 9F 7C 00 00 00 00 80 02 | .......o.|......
0030:  7F FF 63 94 00 00 02 04 : 05 A0 01 03 03 00 01 01 | ..c.............
0040:  04 02 B7 BF 18 46 5B AA : 34 C3 A7 11 A0 23 D7 E6 | .....F[.4....#..

Oh man, es tut mir leid wenn das hier in Spam ausartet, mein Problem ist aber schwerer als erwartet. Bisher habe ich nur gezielt auf die Trojaner die raustelefonieren wollen geachtet und davon war ja nur noch die mswork.exe übrig.

Ich wollte mein System "spaßeshalber" aber nochmal scannen und dabei kam das "böse Erwachen". eScan ist nicht mehr im Einsatz da er von einem Virus befallen wurde. Daraufhin hab ich noch einmal Sysclean angeschmissen um erschrocken festzustellen, praktisch jede .exe Datei ist mit dem Virus PE_Parasite.A befallen. Er hat allein im Windowsordner über 560 Dateien die infiziert sind gefunden.

Ich werd das Ding nachher nochmal über die gesamten Festplatten (2 Stück a 120gb) laufen lassen, was einiges an Zeit kosten wird. Hab aber das Gefühl das der Virus immer wieder kommt (hab definitiv schon einige Dateien gesäubert gehabt die er mir wieder als befallen gemeldet hat, meine einzige Hoffnung ist nun, daß es daran lag das mein erster Check zu unsauber war weil ich nur auf Windows und einige größere Nebenordner wert gelegt hatte und der Virus aus anderen Dateien wieder übergegriffen hat).

Neben diesem Virus, wurden mir aber schon wieder einige andere Trojaner angezeigt. Unter anderem Worm_Spybot.br und Worm_bobax.c

Und ein weiteres Update.

Die mswork.exe wird laut Firewall und laut Hijack nicht mehr mitgeladen. Das Problem könnte sich jetzt also, nach zich weiteren Scans, erledigt haben.

Jetzt muß ich mir einen Plan machen den Pe_Parite Virus zu entfernen (komischerweise zeigt Sysclean ihm als Version A, Kaspersky aber als Version B an).

Hab da auch schon extrem gegoggelt aber puhh was soll ich sagen. Es steht sehr viel, aber eben viel unntüzes auch.

http://board.protecus.de/showtopic.php?threadid=3167&pagenum=1

In dem Thema geht es über zich Seiten speziell darum, werd mir das noch einmal ganz genau durchlesen (heute abend, jetzt bin ich zu müde) und dann mal schauen. Auf jeden Fall schreibt sich das Mistding bisher immer in meine Reg Dateien wieder rein (bzw. irgendein Wert vom Virus).

Neuer Tag, neues Glück.
Hoffe Niemand ist wegen dem Gespamme sauer, bringt ja aber nix wenn ich auf Antwort warte obwohl es neue Fakten gibt.

Gruß Hotte

Wenn die Datei noch da ist probier folgendes:
In der Wiederherstellungskonsole(whk) kannste mit:
attrib -r -h -s msworks.exe
schreibschutt/versteckt/system entfernen und dann sollte sich die Datei mit: del mswork.exe löschen lassen.

Wenn das trotzdem nicht geht machste vorher folgendes:
http://www.winfaq.de/faq_html/tip1268.htm

Schlüssel anlegen und dann über systemsteuerung->system->erweitert-> umgebungsvariablen->systemvariablen->neu die SET befehle anlegen

Oder gleich über Gruppenrichtlinie

Aso du kannst die WHK auch dauerhaft installiern mit: start->ausführen->Eingabe: x:\i386\winnt32 /cmdcons

(Vorher XP-CD einlegen, x:=CDrom-Buchstabe)

Dann kannste aus dem Bootmenü aufrufen

Gruß

Bin endlich wieder Viren und Trojaner frei "juhu". Nach einem 16 Stunden Dauerscan mit Sysclean und einem per Hand löschen der .tmp Dateien sowie des Registry Eintrages, hab ich es nun geschafft und die Viren sind wech.

Wollte das nur nochmal mal als abschließende Meldung bekannt geben und mich für die Hilfe bedanken.

Gruß Hotte


« Spyware oder Exploits die HjackThis erkenntVIRUS/ W32.Randex.gen »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Browser
Der Browser oder Webbrowser ist das Programm, dass die HTML - Befehle einer Internetseite mit Bildern, Videos und Texten auf dem Bildschirm anzeigt. Der Browser ist also ...

Webbrowser
Siehe auch Browser. ...

Browser Verlauf
  Der Browser-Verlauf zeigt die zuletzt im Browser besuchten Webseiten an: So hat man leicht Zugriff auf die Seiten, die man schon einmal angesehen hatte. Je nach...