Rechner fremdgesteuert ??

1: http://www.hijackthis.de/ .... LOG hier auchzeigen...

2.) Spybot & MalwareBytes : Vollscan im abges. Modus machen 

1.
CCLEANER
anwenden (nicht posten)

2.
Malwarebytes laden, installieren, kompletter Scan, alle Funde  löschen lassen. Poste den Report

WICHTIG: Führe nun einen Neustart durch!

3 Hijackthis Download und Logfile erstellen dieses hier posten.


Bitte Spybot S&D weglassen.

@HCK bitte an die Standardprogramme halten,sons kommt hier wieder alles durcheinander.

Ich schreibe nun vom Laptop aus, da der Rechner grad noch den Malware-Scan durchführt (seit nun etwa 2 1/2 Stunden  )

Ich habe nun wie empfohlen Hijacthis aber eben auch Spybot angewandt.
Wäre es dann ratsam das ganze nochmal abzubrechen und so durchzuführen wie Du geschrieben hast? Oder zusätzlich dazu nochmal die drei Schrite (CCleaner, Malware inklusive Post, etc.)  sobald dieser Scan zuende ist?

Danke im Voraus

hallo,

zusätzlich die schritte was @erstguterjunge sagte ausführen
aber vorher, bevor du diese schritte machst die Systemwiederherstellung deaktivieren.
den jetzigen scann brauchst du nicht abrechen mehr ist besser als zu wenig. (was das scannen angeht)

mfg Zidane

So, nun sind alle Vorgänge endlich abgeschlossen und hier sind die Ergebnisse:

Malwarebytes hat nichts gefunden, Report:

Malwarebytes' Anti-Malware 1.29
Datenbank Version: 1300
Windows 5.1.2600 Service Pack 2

22.10.2008 01:07:58
mbam-log-2008-10-22 (01-07-58).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|L:\|)
Durchsuchte Objekte: 173579
Laufzeit: 3 hour(s), 55 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

-------------
Neustart
-------------

Hijackthis Logdatei:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:14:12, on 22.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = Download Directory
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC1).lnk = C:\Programme\Secunia\PSI (RC1)\psi.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O4 - Global Startup: VPN Client.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O12 - Plugin for .pca: C:\Programme\Internet Explorer\Plugins\nppcaplg.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe

--
End of file - 4704 bytes

Ich habe alles im abgesicherten Modus durchgeführt und die Systemwiederherstellung bisher noch draußen gelassen. Ich hoffe das war so weit richtig und warte dann nach diesem ewigen Prozess nun auf die morgige Antwort. 

Vielen Dank schon einmal für die schnelle Hilfe! 

Log schaut sauber aus,jedoch hinterlassen die Active X controls der scanner einen faden beigeschmack.
Ich würde mal gerne wissen,weshalb derart viel zeit investiert wurde,um ein kompromitiertes system zu reinigen.
Die werkzeuge hinterlassen immer ein restrisiko,ich würde mit diese maschiene nicht mehr arbeiten.Nur wollen hier einige leute nicht einsehen,das man ein system nur dann wieder vertrauenswürdig bekommt,wenn man es neu aufsetzt.
Ich möchte diese leute man im firmenumfeld erleben,wenn sie leichtsinnigerweise einen kompromitierten rechner "reinigen" die regressforderungen dürften gesalzen sein...

@ w
Der beste Rat ist immer der, der sich an den User und seine Verhältnisse anpasst.
Es handelt sich hier eben nicht um ein Firmenumfeld, daher ist Perfektion nicht oberstes Gebot.

Es gibt sehr viele kleine Privatnutzer, die Formatieren und Neueinrichten ihrer Kiste geradezu als "Weltuntergang" sehen. Entweder weil die Fähigkeiten dazu fehlen oder weil man unbezahlte Soft, die mal jemand "gespendet" hat, nicht verlieren möchte, evtl. auch wegen großen Backups.

Falls überhaupt ein Schädling vorliegt, scheint der wenig agressiv zu ein. Daher kann man das ganze gelassen ohne Hauruck angehen. Man kann einen Virenscan von Boot-CD probieren. Und ruhig auch mal eine "Systemwiederherstellung" probieren, auch wenn Brauch ist, die immer schlechtzureden.

Und ruhig auch mal eine "Systemwiederherstellung" probieren

So, nachdem ich nun auch wieder zu Hause bin...

Danke für die Antworten.

Die lange Dauer kann ich vermutlich erklären. Ich habe meine gesamte Cd und Vinyl Sammlung nochmal in digitaler Form vorliegen und habe festgestellt, dass es hauptsächlich dieser Ordner war, also die Musik-Dateien, für die er so ewig gebraucht hat.

Ich muss ehrlicherweise sagen, dass der Rechner auch schon recht alt ist. Komplett auf ihn verzichten würde ich allerdings eigentlich eher ungern. Und nochmal eine Formatierung und Neueinrichtung... ich will nicht grad von Weltuntergang sprechen, aber es frisst doch eine Menge Zeit und bedeutet Aufwand und von erster habe ich im Moment nicht allzu viel.

Irgendwelche Ratschläge?... 

Kleine Ergänzung:

Ist das denn soweit ein einigermaßen sicheres "Paket" an Programmen ? Peer Guardian, Spybot, Adaware, Ccleaner ... ? Da gehen die Meinungen ja auch wieder sehr scharf auseinander. Beizeiten soll mir eigentlich auch wieder Kaspersky auf die Platte..

"Probieren" heißt probieren heißt probieren.
Man vergibt sich damit nix und sollte man nach dem "Probieren" nicht wunschlos glücklich sein kann man immer noch was anderes machen 

(Mein letzer Beitrag war @ HCK gerichtet)

Von CCleaner und vergleichbaren verbesseren sollte man die finger lassen.Es werden mehr schäden angerichtet,als tatsächlich beseitigt.Desweiteren kenne ich kein pogramm,das auf mausklick einen rechner angeblich beschleunigt.Was diese pogramme im einzelnen machen,ist für unbedarfte anwender kaum ersichlich und diesen pogrammen auf die "finger" zu schauen,mag auch nicht jeder.
Aber offensichlich wollen viele anwender sich NICHT mit ihrem system befassen,da sie dabei denken müssen.
 

w:

Es mag durchaus möglich sein, dass es eine große Zahl an Anwendern gibt, die sich nicht viel mit ihrem Rechner befassen können/wollen und einfach nur möchten "dass er funktioniert" Jedoch kann das viele Gründe haben, Zeitgründe, Unverständnis, Lustlosigkeit, meinetwegen auch ein von Dir angesprochenes Nicht-Denken-Wollen.

Ich denke allerdings schon, dass ich bereit bin nachzudenken und dies auch tatsächlich in vollem Bewusstsein mache  . Ich habe aber schlicht nicht die Zeit, mich den ganzen Tag eingehend mit meinem Rechner zu befassen, noch dazu ist es eine recht alte Maschine bei der ich ohnehin bei jedem Einschalten das Gefühl habe, dass sie auseinander bricht 

In diesem Fall würde ich einfach gerne eine relativ sichere Methode/Gewissheit haben, dass/ob das Ding nun einigermaßen sauber/sicher/benutzbar ist oder nicht und falls nicht, was es an Gegenmaßnahmen gibt. Grade mit dem Gedanken im Hinterkopf, dass Passwörter bekannt sein könnten , etc.

Danke

Nun,da Du mal vereinfacht gesagt,nur arbeiten möchtest,wäre eine neuinstalation am sichersten.Davon macht man auf seperater festplatte ein image.diese platte wird nach erstellung des images an sicherem ort verwahrt.
Bei eventuellen problemen wird das image zurückgespielt und gut ist.Der zeitaufwand dürfte bei etwa einer stunde liegen für das zurückspielen.
Weitere gegenmaßnahmen,damit gäste nicht wiederkommen:
Arbeiten nur als benutzer ohne adminrechte.Der Admin ist zur wartung des systems da,nicht zum arbeiten.
Zum reinen surfen würde ich als gast arbeiten,mit gastrechten.Du wirst nicht umhinkommen,Dich einmalig mit der vergabe von Rechte unter NT basierenden systemen auseinanderzusetzen.Das thema ist sehr komplex und erfordert einiges an einarbeitung.Als gegenleistung kannst Du Die rechte für deinen rechner so anpassen,das Du gut arbeiten kannst,aber gäste außen vor bleiben.

Desweiteren würde ich nur mit Firefox oder Opera ins netz gehen,nicht mit den IE.Für Firefox gibt es nette erweiterungen,die das ausführen aktiver inhalte unterbinden und es nur auf wunsch des anwenders zulassen.

Desweiteren ist das abschalten nicht erforderlicher Dienste eine weitere möglichkeit,die angriffsfläche für besucher aus dem netz zu verkleinern.
Der einsatz einer PFW auf dem system ist generell zu unterlassen,die systemeigene sollte ausreichen.

Falls intresse an weiteren gegenmaßnahem,einfach fragen.