Ist mein System clean? ([GR]Termi)

[GR]Termi
Gast

« am: 23.04.05, 23:24:10 »

Da ich das gefühl habe das mein System nicht ganz clean ist, poste ich hier mal meinen hijacklog....
ich würde mich sehr über hilfe freuen...

Logfile of HijackThis v1.99.1
Scan saved at 23:30:44, on 23.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
E:\hijackthis_199\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.germanreapers.com/page/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.germanreapers.com/page
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe
O4 - HKCU\..\Run: [fkfm] C:\PROGRA~1\COMMON~1\fkfm\fkfmm.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106159224125
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9397850A-C84B-4BF2-A056-A568C17F3FAA}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Groove Games Licensing Service - Groove Games - C:\Programme\Gemeinsame Dateien\Groove Games Shared\Service\ggameslicsvc.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe" -run bl -n PersonalPro -v 5.0.0.0 -ttsr 10000000 (file missing)
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

MfG

Termi

Moderator informieren

i k e
Gast

Re: Ist mein System clean?

« Antwort #1 am: 24.04.05, 01:23:33 »

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Moderator informieren

[GR]Termi
Gast

Re: Ist mein System clean?

« Antwort #2 am: 24.04.05, 04:25:40 »

Danek für die Antwort,
aber die punkte die in diesem link aufgeführt werden sind mir sehrwohl bekannt....
mich würde nur mal interessieren obe sich irgendwas auf meinem PC eingenistet hat....
mir sagen nämlich einige Processe nichts...
schaut euch das bitte mal an...

schönen abend noch

Termi

Moderator informieren

Dr.Nope (55.004)
Global Moderator

1250x Beste Antwort

2593x "Danke"

Re: Ist mein System clean?

« Antwort #3 am: 24.04.05, 08:24:52 »

Hat dir diese Antwort geholfen?

Guck mal bei http://www.hijackthis.de dort das log einfügen, dort stehen auch Hinweise. Sieht aber i.O. aus denk ich.

Moderator informieren

Richard
Gast

Re: Ist mein System clean?

« Antwort #4 am: 24.04.05, 11:45:06 »

Hallo Termi !
Denke schon ,daß du dir was eingefangen hast.
Der Eintrag
O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe stammt vom
RBOT.XQ-Wurm bzw. wird von ihm dazugefügt.
Und dieser ist auch extrem gefährlich lt. Sophos:
www.sophos.de/virusinfo/analyses/w32rbotxq.html ua.:
# Ermöglicht Dritten den Zugriff auf den Computer
# Löscht Dateien vom Computer
# Stiehlt Daten
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen

Würde mindestens folgende fixen:

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [ScanRegistry] C:\W

O4 - HKLM\..\RunServices: [WindowsRegKey upd4te2d4te] IEEXPLORE.exe (diese muß weg!)

O4 - HKCU\..\Run: [fkfm] C:\PROGRA~1\COMMON~1\fkfm\fkfmm.exe

O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab

Sehr bedenklich finde ich, daß bei deinem KasperskyPro-Scanner dann ein Eintrag fehlt:
O23 - Service: Kaspersky Anti-Virus Service ....
eine Datei (file missing) fehlt.

Entweder ist bei der Installation was schief gelaufen oder dieser o.g. Wurm hat versucht einige Dateien zu zerstören. Das darf so nicht sein.

Würde nach dem fixen (am besten im abgesicherten Modus + deaktivierter Sysmtemwiederherstellung) zur Sicherheit deinen Kaspersky komplett deinstallieren und dann neu installieren, damit da auch alles da ist.
Wenn ein AV-Scanner womöglich beschädigt ist, kann er auch nur eingeschränkt funktionieren,wenn überhaupt.

Moderator informieren

[GR]Termi
Gast

Re: Ist mein System clean?

« Antwort #5 am: 25.04.05, 01:07:41 »

Dankesehr,
ich werde mich morgen früh mal dran setzen und alles versuchen zu fixen.

Moderator informieren

Ist mein System clean?

Antworten zu Ist mein System clean?:

Re: Ist mein System clean?

Mehr zu Ist mein System clean?