Hab den Kommentar von Sir Reklov gelesen. Aber jetzt bin ich schon soweit, jetzt schick ich das logfile von highjackthis auch noch.
Logfile of HijackThis v1.99.1
Scan saved at 16:49:25, on 03.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Sesam\Security\SPISLMGR.exe
C:\Sesam\Servers\LicSrv.exe
C:\Sesam\Security\SvcCtrl.exe
C:\Sesam\Servers\UsrMgmS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UStorSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ylmzidmj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\PETERW~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sunrise.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPpromo psc 2400 series] "C:\Programme\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2400 series" -r
O4 - HKLM\..\Run: [AME_CSA] rundll32 amecsa.cpl,RUN_DLL
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [dmtvz.exe] C:\WINDOWS\system32\dmtvz.exe
O4 - HKLM\..\Run: [ylmzidmj.exe] C:\WINDOWS\system32\ylmzidmj.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/download/scanner/wlscbase8460.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139754049437
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: SESAM Licence Manager - Sage Sesam Ltd - C:\Sesam\Security\SPISLMGR.exe
O23 - Service: SESAM Licence Server - Sage Sesam Ltd - C:\Sesam\Servers\LicSrv.exe
O23 - Service: SESAM Service Agent - Unknown owner - C:\Sesam\Security\SvcCtrl.exe
O23 - Service: SESAM User Management Server - Sage Sesam Ltd - C:\Sesam\Servers\UsrMgmS.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe
Hallo nochmal,
hier kannst du selber sehen,wer der Chef auf deiner Kiste ist...
Du hattest aufgetragen bekommen ,die O17 Einträge zu lösche.Erst waren es vier ,jetzt sind zwei zurück gekommen... Das geschieht ohne dein Zutun...
O17 - HKLM\System\CCS\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12Um es deutlich zu machen....nimm eine dieser Nummern
O17 - HKLM\System\CS1\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12
85.255.113.115oder
85.255.112.12und füge sie in dem Feld ein,dessen Link ich dir gegeben habe oben.
Du teilst deine Kiste mit Leuten die das deshalb machen,weil ihre eigene Kiste zu schade dafür ist und sie die polizeiliche Verfolgung vermeiden wollen.
Für einen armen Waisenhort zu spenden wird es nicht sein,was die vorhaben,oder was denkst du ?
Aber es ist deine Kiste und du darfst damit selbstverständlich tun was immer dir beliebt,auch als Tauschplattform für Kinderbilder der übelsten Art.
Du bist es der dann Erklärungen dafür liefern muß...
In der U-Haft hast du dann Zeit und Gelegenheit(wenn dir der Zwei-Meter-Riese der garantiert ausgerechnet dein Zellengenosse ist und schon zwei Jahre keine Frau mehr gesehen hat ,Zeit dafür läßt) über meine Worte zu sinnen....
Sir Reklov
Hallo Sir Reklov
Hab den Test mit den "O17" Einträgen nochmal gemacht. Die waren tatsächlich beim nächsten Aufstarten wieder da!
Aber ginge es auch ohne Häme und Spott? Es kann schliesslich nicht jeder ein Experte sein mit Computern. Ich wusste nicht, dass mein PC über die Ukraine umgeleitet wird und was die da damit machen könnten. Darum frage ich bei Euch ja um Hilfe.
Und wenn ich von irgendwelchen solchen Machenschaften wüsste, würde ich Euch wohl kaum unter meinem richtigen Namen schreiben...
Aber Danke auf jeden Fall fürs Augen öffnen!
@Sir Reklov
Wieso "Help" glaubt ,das Zlob nur temporär existiert ist mir ein Rätsel....
Das hast du falsch verstanden !
„Zudem hat Ewido die Malware „Downloader.Zlob.aty“ nur im Speicher erkannt,
das bedeutet, das sich diese Malware über eine Rootkitfunktion verstecken kann.“
Lesen, verstehen, helfen!
Hallo Peter,
kommen wir zu deinen Problem zurück.Lösche bitte zuerst alle Einträge die Norton unter QUARANTINE isoliert hat,
ist übrigens eine nette Virensammlung, da werde ich fast neidisch.
Jetzt mal Butter bei den Fischen.
Das hier ist die Malware die Ewido unter Downloader.Zlob.aty im Speicher findet und sich über ein Rootkit verstecken kann.
C:\WINDOWS\SYSTEM32\KDCOU.EXE
Manuelle Remove Anleitung:
Mit dem Tool “The Avenger“ kann die Datei und der Eintrag die für Infektion verantwortlich sind manuell gelöscht werden.
Eine gute Anleitung zum Tool und einen Downloadlink findet man hier:
http://virus-protect.org/artikel/tools/avenger.html
Der folgende Script muss komplett nach Avenger unter “View/edit script“ kopiert werden:
###Anfang### (Nicht mitkopieren nach Avenger !)
Files to delete:
%windir%\system32\KDCOU.EXE
Registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system\KDCOU.exe
###Ende### (Nicht mitkopieren nach Avenger !)
Fixe im Anschluss diese Einträge aus dem Logfile of HijackThis
O17 - HKLM\System\CCS\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{5646C81A-0DAA-469B-9624-6C6DE41DFECA}: NameServer = 85.255.113.115 85.255.112.12
Boote den PC neu und wiederhole zur Kontrolle die Scans mit den Online-Scanner von F-Secure und Ewido.
Erstelle noch mal ein neues Logfile of HijackThis und poste es mit den Scanberichten
wäre es eine Hilfe , die Russen - IP erstmal in der HOSTS unwirksam zu machen ?
Solange die Malware aktiv ist, werden die Einträge wieder hergestellt!
aber m.E. greift er dann beim Verbindungsversuch ins leere , ODER ??
1. Malware entfernen
2. Einträge fixen
3. Dann erst wieder ins Internet
OK?
Hallo Sir Reklov [...]
...Aber ginge es auch ohne Häme und Spott? Es kann schliesslich nicht jeder ein Experte sein mit Computern. [...] Darum frage ich bei Euch ja um Hilfe.
Das kann er leider nicht. Ist hier auch schon mehrmals angesprochen worden, aber er "ergötzt" sich trotzdem an der Unwissenheit der User (ich glaube sogar, das er bei bestimmten Postings sabbert ). Was aber nicht heißen soll, das er ab und zu mal Recht hat Aber nur ab und zu, denn es ist bei Weitem nicht alles so schwarz und "russisch" wie er es immer sieht.
Hallo,
das hier steht auf der ersten Seite,damit war eigentlich schon alles gesagt...
Ich zitiere mich nur ungern selbst,aber hier muß es jetzt sein.
du hast eine sehr hübsche Sammlung an Backdoortrojanern aller Art.Einige durch Emailanhänge eingefangen,einige durch das Nachladen von "Zlob" mitbekommen.....
Wieso "Help" glaubt ,das Zlob nur temporär existiert ist mir ein Rätsel....
Deine einzige Möglichkeit ein sauberes arbeitsfähiges System zu bekommen,ist eine Neuinstallation.
Mal abgesehen von dem russischen Provider und "Zlob" treibt sich bei dir alles rum was "Rang und Namen" hat...
Besser du stöpselst dein INet aus,bevor es der Staatsanwalt für dich tut....
Setz neu auf,alles andere ist bodenloser Leichtsinn !!
...und ultradämlich ist es zu glauben, mit irgend welchen Tools da noch etwas retten zu können...
Spöttisch ja.. aber erst nachdem "Peter Walder" wohl noch Hoffnung hatte ,um eine Neuinstallation herumzukommen.
...und immerhin habe ich erreicht was Sinn und Zweck meines Postings war...
Aber Danke auf jeden Fall fürs Augen öffnen!
Auch den Link um sich das selbst anzusehen hat er bekommen,nebst Einweisung was dabei zu tun ist.
Nein Boom-Town,ich sabbere nicht dabei,kann mir aber einen spöttischen Unterton nicht verkneifen,will ich auch gar nicht...
Ich zeige lediglich damit den möglichen Supergau auf,Der muß so nicht eintreten ,könnte aber....und speziell hier ist das nun überhaupt nicht von der Hand zu weisen...
Alleine die "eingefangen Viecher" in der Quarantäne..
Ihr ,die ihr tatsächlich zu glauben scheint, das an der Kiste noch irgend was zu retten wäre
Euch sei gesagt : Lest die reichlich vorhanden Abhandlungen zu "Rootkit`s" und deren Funktionen durch,bevor ihr solch dummdreiste Ratschläge zum Reinigen gebt..
Klar,eure Kiste ist das ja nicht...da kann man scheinbar locker ein wenig rumexperimentieren.....wenns nämlich schief geht,trifft das euch ja nicht...
Der Link von "Jüki" in Sachen Trojanerreinigung finde ich jetzt nicht....der beschreibt es nämlich sehr treffend
Ihr tragt Verantwortung ,wenn ihr Ratschläge gebt.
Werded dieser Verantwortung gerecht !!!
Ich habe fertig
Sir Reklov
SOMIT ist es KLAR : Sir Reklov sucht HIER ganz bestimmt KEINE Freunde , aber als "NoMember" ist er halt klar im Vorteil
Muss seine PN nicht sperren , kann nicht ausgeschlossen werden ....
Ich habs geliebt , bevor ich mich angemeldet habe .....
nochmal hallo..
sucht HIER ganz bestimmt KEINE FreundeDas wären doch nur "virtuelle Freunde"...
Ich habe jede Menge virtuelle Freundinnen,deren Nachname ist immer JPEG......
aber als "NoMember" ist er halt klar im Vorteil
Nein nein,das hat damit nix zu tun.Die Antwort wäre immer die Gleiche
Auch wenn sie heute etwas "frustiger" ausgefallen ist....
HCK,dich habe ich aber lieb...
Sir Reklov
Hier das logfile vom Avenger. Dazu folgendes:
- Hab gesehen, dass im log "not found" und "failed" stand
- Hab den Avenger daher 5 mal drüber lassen
- Spybot hat jedesmal gemeldet "Wert hinzugefügt"
- jedesmal wars (glaub ich) ein anderer Eintrag, die letzten 3 ganz sicher
- Der letzte Eintrag: atekinwq C:\htlosbln.bat
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\atgrncbr
*******************
Script file located at: \??\C:\ryf^oaax.txt
Script file opened successfully.
Script file read successfully
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
File C:\WINDOWS\system32\KDCOU.EXE not found!
Deletion of file C:\WINDOWS\system32\KDCOU.EXE failed!
Could not process line:
C:\WINDOWS\system32\KDCOU.EXE
Status: 0xc0000034
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system\KDCOU.exe not found!
Deletion of registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system\KDCOU.exe failed!
Status: 0xc0000034
Completed script processing.
*******************
Finished! Terminate.
Hallo,
@ Peter Walder
File C:\WINDOWS\system32\KDCOU.EXE not found!
Deletion of file C:\WINDOWS\system32\KDCOU.EXE failed!
Could not process line:
C:\WINDOWS\system32\KDCOU.EXE
Status: 0xc0000034
Verstehst du englisch ?
Hier steht, das es nicht funktioniert hat.
Ich lege dir letztmalig dringend ans Herz eine Neuinstallation möglichst bald in Angriff zu nehmen.
Du hast/hattest einfach zuviele Probleme auf der Kiste.
Desweiteren rate ich dir,dein Internetverhalten einer sorgfältigen Prüfung zu unterziehen.Ein Großteil deiner Schädlinge stammen aus EMailanhängen,diese sind grundsätzlich "bäh".
Die momentane Situation ist geradezu prädistiniert für einen sogenannten "man in the middle"-Angriff.
Solltest du bei EBay aktiv sein und Online-Banking betreiben,schwebst du in akuter Gefahr deine Kohle loszuwerden.
Ganz ernsthaft jetzt und ohne einen Smiley.....
Sir Reklov
Hallo Sir Reklov
So gefällst Du mir schon besser. Sachlich halt...
Ich kaufe grundsätzlich nichts on-line. Da bin ich altmodisch.
Zudem weiss ich nicht (keine Ahnung!), wie man einen PC neu aufsetzt. Also spiel ich jetzt mal durch, was mir die guten Seelen von "help" empfehlen. Arbeiten mit dem Ding muss ich erst wieder in 2 Wochen.
Ich öffne keine Anhänge von Leuten, die ich nicht kenne. Aber eine Garantie ist das natürlich nicht....
Was gibts denn für bessere Viren-Programme? Benutze Norton und Spybot.
Oder welchen Explorer (benutze IE7) soll man brauchen?
Gruss
Peter
« Weiß nicht ob ihc Trojaner oder Wurm hab | Kann bei jemanden nachgucken aus welchen computer etwas geschickt wurde ? » | ||