hi,
neulich beim surfen passierte es:
plötzlich ein schwarzer bildschirm mit einem bild, das mir sagte, mein pc sei ausspioniert.
ich dachte an einen normalen virus.
daher habe ich mit
norton AV 2003 (befund: 1x trojan.byteverifiy) gescannt. dennoch blieben die probleme
(und zwar abstürze, pc-stocken, falscher desktop)
systemwiederherstellung ist natürlich ausgeschaltet.
daher probierte ich noch
AV-kit 2004,
cws-shredder,
spybot,
reg-clean,
ad-aware.
alle haben nichts gefunden. auch im abgesicherten modus nicht. es sind alles neueste versionen der programme.
also schaute ich in mein hijack-logfile und erschrack (zu recht!?):
"Logfile of HijackThis v1.97.7
Scan saved at 19:13:13, on 13.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
J:\AntiVirenKit 2004 Demo\AVKPOP.EXE
J:\AntiVirenKit 2004 Demo\AVKService.exe
J:\AntiVirenKit 2004 Demo\AVKWCtl.exe
J:\Norton AV\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\J\Desktop\HijackThis.exe
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINDOWS\System32\iruaaie.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - J:\Norton AV\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - J:\Norton AV\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "J:\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [tnjwfex6b5] C:\WINDOWS\2gizirbmku.exe
...
hier habe ich ein ganze menge einträge herausgenommen. sie unterscheiden sich nicht oder nur kaum von "2gizirbmku.exe". die dateien sind aber an angegebener quelle gar nicht zu finden.
(auch mit "alles anzeigen" bei ordneroptionen)
...
O4 - HKLM\..\Run: [auwx0d1djy] C:\WINDOWS\2gizirbmku.exe
O4 - HKLM\..\Run: [jmc7g19dr8] C:\WINDOWS\2gizirbmku.exe
O4 - HKLM\..\Run: [ab0yx5katj] C:\WINDOWS\2gizirbmku.exe
O4 - HKLM\..\Run: [jzbyeb2cmi] C:\WINDOWS\2gizirbmku.exe
O4 - HKLM\..\Run: [b77zbvl8v4] C:\WINDOWS\2gizirbmku.exe
O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [maudsdkw] C:\WINDOWS\System32\maudsdkw.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [Upgrade Service] C:\WINDOWS\winupd.exe
O4 - HKLM\..\Run: [Services Process] C:\WINDOWS\system32\config\services.exe
O4 - HKLM\..\Run: [ist service uninstall] C:\WINDOWS\mstasks2.exe /u
O4 - HKLM\..\Run: [AVK Mail Checker] "J:\AntiVirenKit 2004 Demo\AVKPOP.EXE"
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.oem.de
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://hard-virgins.com/dkvaget/x.chm::/load.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38053.2983217593
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab"
mein norton usw. erkenn ich natürlich. aber beim rest seh ich kaum durch. vielleicht habt ihr ja ein paar hilfreiche tipps?!
vielen dank
fusions-achim Gast |