Viren, Spyware, Datenschutz 11.254 Themen, 94.795 Beiträge

Verfolgung starten Optionen

clean?

Yeza / 7 Antworten / Baumansicht Nickles

hi, hab nen rechner versucht mit diversen tools clean zu bekommen (war unter anderem ein trojaner drauf). hab aber auch nicht allzu viel ahnung.
kann sich jemand eventuell mal die logfiles diverser scans anschauen und mir eventuell noch sagen, was noch gelöscht werden kann?

hijackthis:

ogfile of HijackThis v1.97.7
Scan saved at 14:56:46, on 01.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\spoolsv.exe
C:\\Programme\\AVPersonal\\AVGUARD.EXE
C:\\Programme\\AVPersonal\\AVWUPSRV.EXE
C:\\WINDOWS\\System32\\nvsvc32.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\wanmpsvc.exe
C:\\WINDOWS\\System32\\MsPMSPSv.exe
C:\\WINDOWS\\Explorer.EXE
C:\\WINDOWS\\Mixer.exe
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe
C:\\Programme\\AVPersonal\\AVGNT.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
C:\\Programme\\Messenger\\msmsgs.exe
C:\\WINDOWS\\System32\\shellexp.exe
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Programme\\Lavasoft\\Ad-aware 6\\Ad-aware.exe
C:\\Programme\\Spybot - Search & Destroy\\SpybotSD.exe
C:\\Dokumente und Einstellungen\\Vati\\hijackthis\\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\\Programme\\Adobe\\Acrobat 5.0\\Reader\\ActiveX\\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\\WINDOWS\\System32\\msdxm.ocx
O4 - HKLM\\..\\Run: [NeroCheck] C:\\WINDOWS\\System32\\NeroCheck.exe
O4 - HKLM\\..\\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\\..\\Run: [RealTray] C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\\..\\Run: [AVGCtrl] C:\\Programme\\AVPersonal\\AVGNT.EXE /min
O4 - HKCU\\..\\Run: [CTFMON.EXE] C:\\WINDOWS\\System32\\ctfmon.exe
O4 - HKCU\\..\\Run: [MSMSGS] "C:\\Programme\\Messenger\\msmsgs.exe" /background
O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en
O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 8.0 Tray-Symbol.lnk = C:\\Programme\\AOL 8.0\\aoltray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Real.com (HKLM)

------------------------------------------------------------------
asviewer:

DiamondCS Autostart Viewer (www.diamondcs.com.au) - Report for Ich@WALTER, 04-01-2004
c:\\windows\\system32\\autoexec.nt
C:\\WINDOWS\\system32\\mscdexnt.exe
C:\\WINDOWS\\system32\\redir.exe
C:\\WINDOWS\\system32\\dosx.exe
c:\\windows\\system32\\config.nt
REM Die EMM-Größe wird in der PIF-Datei (entweder die Datei _DEFAULT.PIF
C:\\WINDOWS\\system32\\himem.sys
c:\\windows\\system.ini [drivers]
timer=timer.drv
c:\\windows\\system.ini [boot]\\shell
C:\\WINDOWS\\Explorer.exe
c:\\windows\\system.ini [boot]\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKLM\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell
C:\\WINDOWS\\Explorer.exe
HKCU\\Control Panel\\Desktop\\scrnsave.exe
C:\\WINDOWS\\System32\\ssflwbox.scr
HKCR\\vbsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\vbefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\jsefile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wshfile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKCR\\wsffile\\shell\\open\\command\\
C:\\WINDOWS\\System32\\WScript.exe "%1" %*
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NeroCheck
C:\\WINDOWS\\System32\\NeroCheck.exe
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\C-Media Mixer
Mixer.exe /startup
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\NvCplDaemon
RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\RealTray
C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\AVGCtrl
C:\\Programme\\AVPersonal\\AVGNT.EXE /min
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\ctfmon.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\MSMSGS
C:\\Programme\\Messenger\\msmsgs.exe
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Explorer
C:\\WINDOWS\\System32\\shellexp.exe en
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\WNSC
C:\\WINDOWS\\System32\\wnsintsv.exe
HKU\\.Default\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\CTFMON.EXE
C:\\WINDOWS\\System32\\CTFMON.EXE
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad\\
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\system32\\SHELL32.dll
C:\\WINDOWS\\System32\\webcheck.dll
C:\\WINDOWS\\System32\\stobject.dll
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.exe.lnk
C:\\Programme\\Gemeinsame Dateien\\Adobe\\Calibration\\Adobe Gamma Loader.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk
C:\\Programme\\AOL 8.0\\aoltray.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinCinema Manager.lnk
C:\\Programme\\InterVideo\\Common\\Bin\\WinCinemaMgr.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\InterVideo WinScheduler.lnk
C:\\Programme\\InterVideo\\WinDVR\\WinScheduler.exe
C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk
C:\\Programme\\Microsoft Office\\Office\\OSA9.EXE
HKLM\\System\\CurrentControlSet\\Control\\Session Manager\\BootExecute
autocheck autochk *
HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Userinit
C:\\WINDOWS\\system32\\userinit.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\cmdline
C:\\WINDOWS\\system32\\ntvdm.exe
HKLM\\System\\CurrentControlSet\\Control\\WOW\\wowcmdline
C:\\WINDOWS\\system32\\ntvdm.exe -a %SystemRoot%\\system32\\krnl386
HKLM\\System\\CurrentControlSet\\Services\\Winsock2\\Parameters\\Protocol_Catalog9\\Catalog_Entries\\
C:\\WINDOWS\\system32\\mswsock.dll
C:\\WINDOWS\\system32\\rsvpsp.dll

---------------------------------------------------------------------

warnungen von AntiVir:

C:\\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\7U8BBPC5
CnsMin[2].cab
ArchiveType: CAB (Microsoft)
--> CnsMin.dll
HINWEIS! Der Archivheader ist defekt
--> CnsMin.inf
HINWEIS! Der Archivheader ist defekt
--> cns02.dat
HINWEIS! Der Archivheader ist defekt
--> CnsHook.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\GL4TERO1
NSupd9x[1].cab
ArchiveType: CAB (Microsoft)
--> NSupd9x.inf
HINWEIS! Der Archivheader ist defekt
--> nsupdate.dll
HINWEIS! Der Archivheader ist defekt
C:\\Dokumente und Einstellungen\\Ich\\Lokale Einstellungen\\Temporary Internet Files\\Content.IE5\\RLWANHHE
bg2desktop_2[1].zip
ArchiveType: ZIP
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\\WINDOWS\\system32\\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

-------------------------------------------------------------------
spybot:

Alexa Related: What\'s related link (Datei austauschen, nothing done)
C:\\WINDOWS\\Web\\related.htm

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-18\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\.DEFAULT\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\0\\1004=W=3

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-21-1454471165-839522115-725345543-1004\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-20\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\\S-1-5-19\\Software\\Microsoft\\MediaPlayer\\Player\\Settings\\Client ID=

bei Antwort benachrichtigen
Stigal Yeza „clean?“
Optionen

Deine logfiles sind ja ganz schön ;-)
Am besten du löscht sie - mit denen kann keiner was anfangen.

Gib lieber http://www.symantec.com/cgi-bin/securitycheck.cgi
in deine Browser ein und mach einen Virencheck (die Firma Symantec ist eine der besten Sicherheitsfirmen in Sachen Internet - z.B.: Norton AntiVirus kommt von ihr)

Die Seite durchsucht deinen Computer auf befallene Dateien und gibt dir dann eine Liste mit den Infizierten Dateien aus.
Am besten du kopierst dir diese Liste und speicherst sie in einem Text-File ab.
Dannach musst du von den Infizierten Dateien Abschied nehmen (ich nehme an das diese sowieso nicht mehr funktionieren.
Am Anfang solltest versuchen die Dateien unter der normale Windows - Sitzung zu löschen und wenn dann noch Dateien überbleiben sollten wechselst du am besten in den "Abgesicherten Modus" !

Versichere dich nach dem löschen ob die Datei auch wirklich gelöscht wurde - es gibt nämlich Viren die sich wiederherstellen bzw. wenn es sich um eine Systemdatei handelt stellt Windows diese meist von selbst wider her (diese ist dann genau in dem gleichen Zustand als vor dem löschen !)

Bevor du aber in den "Abgesicherten Modus " wechselst solltest du dich informieren wie wichtig die Dateien sind die du dann noch löschen musst da es sich warscheinlich nur mehr um infizierte Systemdateien handeln wird, die zwar, von Windows, meistens eh nicht (wirklich) gebraucht werden.
Im schlimmsten Fall kann es dazu kommen, dass sich nach deren löschen, Windows nicht mehr hochfahren lässt ! (kommt meistens nicht vor)

Nachdem du alle infizierten Dateien gelöscht hast solltest du nochmal einen Virencheck machen, da warscheinlich wider ein paar Dateien neu infiziert sein werden (keine Sorge - es werden weit weniger sein als beim ersten mal)
Dann wider löschen, wider Virencheck usw.
Normalerweise sollte dein Computer nach dem 2ten löschvorgang "sauber" sein.

Sollte dir das alles zu mühsam sein oder sich Windows nicht mehr starten lassen hilft wohl nur noch den PC neu "aufzusetzen".

P.S.: Wenn du etwas Zeit hast solltest du dich vielleicht mit LINUX vertraut machen - da die Virenattacken unter Windows immer schlimmer werden und die lieben Microsoft-Programmierer anscheinen zu blöd sind um ein gescheites OS zu schreiben.
Unter LINUX gibt es so gut wie keine Viren und die meisten Programme kannst du dir gratis herunterladen !

lg Stigal

bei Antwort benachrichtigen
Tyrfing Stigal „Deine logfiles sind ja ganz schön - Am besten du löscht sie - mit denen kann...“
Optionen

>>Deine logfiles sind ja ganz schön ;-)
Am besten du löscht sie - mit denen kann keiner was anfangen. Doch, kann man. Und zwar wesentlich mehr als mit Symantecs neuestem Datenmüll ;)

Übrigens reicht es oft schon, den Namen von irgeneinem Prozess bei Google einzugeben...man sollte allerdings auf den exakten Namen und Pfad achten

bei Antwort benachrichtigen
Andylol Yeza „clean?“
Optionen

Moin,

@Yeza

--> soll wohl ein Aprilscherz sein, Deine Frage?

Aber nur so viel:

DSO Exploit ist etwas "Böses" -> löschen!
Alexa ist etwas "Böses" (nur Microsoft freut sich darüber ;-) -> löschen!

zum Glück wurde aber der Zugriff auf die SAM verweigert!

Wenn Du jemanden suchst, der das Denken für Dich abnimmt:... frag bitte nicht uns, frag Deinen Verstand ..oder google Dich selbst schlau :-)

Ein bißchen Arbeit, bedeutet "Sicherheit" schon !


Gruß
Andylol

bei Antwort benachrichtigen
-IRON- Yeza „clean?“
Optionen

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein IE ist nicht auf dem aktuellen Patchlevel!

Running processes:

C:\\WINDOWS\\System32\\shellexp.exe

Böse. Guckst du hier...

O4 - HKCU\\..\\Run: [Explorer] C:\\WINDOWS\\System32\\shellexp.exe en

Siehe oben. Weg damit.

O4 - HKCU\\..\\Run: [WNSC] C:\\WINDOWS\\System32\\wnsintsv.exe

Böse. Guckst du hier...

Anyway...ich rate dringend zu einem Neuaufsetzen des Systems. Microsoft übrigens auch:
The Ten Immutable Laws of Security

Wer Trolle toleriert, toleriert Lügen.
bei Antwort benachrichtigen
Yeza Nachtrag zu: „clean?“
Optionen

hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt...
ich hab mich ja schon über die ein oder andere sache schlau gemacht, aber alles kann man eben nicht gleich wissen und da ich mit besagtem rechner vorerst eh nicht ins netz kann, hab ich gestern als die gelegenheit da war die logfiles mal hier reingestellt, denn es gibt sicher leute, die da schlauer sind als ich...
das denken soll mir hier keiner abnehmen, aber wozu ist denn dieses forum da, wenn nicht um sich hilfe zu holen... is ja keiner verpflichtet sich das durchzulesen und mir zu antworten.
trotzdem danke für eure hinweise.
betreffs linux: ist ja nicht mein rechner, mit dem ich mich abquäle und "ältere" leute halten nun mal nicht viel davon, wenn man ihnen vertrautes mit etwas neuem, "mysteriös komplizierten" ersetzen möchte.
die windows patches und SP1a spiel ich noch ein.
im gegensatz zu dem was vorher alles drauf war bin ich jedenfalls schon ein ganzes stückchen weiter.
So, da werd ich mich dann mal wieder ransetzen. Macht nämlich trotz meiner erstmaligen Begegnung mit Trojanern und Co. Spaß sich damit zu beschäftigen.

So long, Yeza

bei Antwort benachrichtigen
GarfTermy Yeza „hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt... ich hab mich...“
Optionen

"...hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt..."

sorry - aber die antwort von iron ist völlig in ordnung, er hat dich ernstgenommen. ...glaube mir - das gegenteil würdest du direkt merken.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Yeza GarfTermy „ ...hmm, ich hatte schon erwartet, dass man mich etwas ernster nimmt... sorry -...“
Optionen

okay, dann isses wohl bei mir falsch angekommen, sorry

bei Antwort benachrichtigen