FALc Geschrieben 11. September 2005 Geschrieben 11. September 2005 hallo, habe ein problem das sich nur noch ein link mit meinem t-onlinebrowser öffnen läst. irgendwas mit worldtracker blabla... darauf hin habe ich mit dem program hijackThis mal laufen lassen könnt ihr mir eventuell sagen wo der übeltäter liegt? ------------- Logfile of HijackThis v1.99.1 Scan saved at 13:09:05, on 11.09.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\SYSTEM32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\ibmpmsvc.exe C:\WINNT\System32\S24EvMon.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\Ati2evxx.exe C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe C:\Programme\lotus\notes\ntmulti.exe C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe C:\Programme\Tiny Personal Firewall\persfw.exe C:\WINNT\System32\QCONSVC.EXE C:\WINNT\System32\RegSrvc.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe C:\WINNT\SYSTEM32\Ati2evxx.exe C:\WINNT\Explorer.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\AGRSMMSG.exe C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINNT\system32\hpnra.exe C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe C:\WINNT\comm.exe C:\WINNT\iau.exe C:\WINNT\stisvsq.exe C:\WINNT\svshost.exe C:\WINNT\comm.exe C:\WINNT\msqdevl.exe C:\WINNT\lssas.exe C:\WINNT\mservice.exe c:\winnt\system32\ynzbvm.exe C:\CFGSAFE\AUTOCHK.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINNT\system32\control.exe C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\DOKUME~1\csm\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.lycos.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=http://127.0.0.1:8080 R3 - URLSearchHook: (no name) - {AE8C0DE7-446A-9ADB-1BF7-D542900EAED5} - ABCXYZ.dll (file missing) F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\lxmii.dll O2 - BHO: VBRunDLL Class - {197B8CA4-E215-46DD-8F33-E0544A80E5C4} - C:\WINNT\system32\vbrundll.dll O2 - BHO: CDllBho Object - {5A5B6916-ED71-4531-8018-E792DD44156E} - C:\WINNT\kjwe.dll O2 - BHO: ohb - {999A06FF-10EF-4A29-8640-69E99882C26B} - C:\WINNT\system32\nsg34.dll O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINNT\system32\nss3.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINNT\system32\lxmii.dll O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [bMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor O4 - HKLM\..\Run: [bMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [QCWLIcon] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINNT\system32\hpnra.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [Communicator] C:\WINNT\comm.exe /i O4 - HKLM\..\Run: [Microsoft Internet Acceleration Utility] iau.exe O4 - HKLM\..\Run: [internet Connection Wizard] stisvsq.exe O4 - HKLM\..\Run: [Games Acceleration] svshost.exe O4 - HKLM\..\Run: [internet Mail and News] msqdevl.exe O4 - HKLM\..\Run: [Microsoft Management Console] lssas.exe O4 - HKLM\..\Run: [Multimedia extensions] mservice.exe O4 - HKLM\..\Run: [WhatsNewBot] jopplerg.exe O4 - HKLM\..\Run: [ParisM] Serviceprocess.exe O4 - HKLM\..\Run: [regsync] C:\WINNT\system32\regsync.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun O4 - HKLM\..\Run: [fjdbzrz] c:\winnt\system32\ynzbvm.exe O4 - HKCU\..\Run: [internet Connection Wizard] stisvsq.exe O4 - HKCU\..\Run: [internet Mail and News] msqdevl.exe O4 - HKCU\..\Run: [Microsoft Management Console] lssas.exe O4 - HKCU\..\Run: [Multimedia extensions] mservice.exe O4 - HKCU\..\Run: [WinInitDll] StartCpl.exe O4 - HKCU\..\Run: [Games Acceleration] svshost.exe O4 - HKCU\..\Run: [Microsoft Internet Acceleration Utility] iau.exe O4 - Global Startup: AUTOCHK.LNK = C:\CFGSAFE\AUTOCHK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\IBM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\WareOut\WareOut.exe (HKCU) O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - C:\Programme\WareOut\WareOut.exe (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O20 - Winlogon Notify: ckpNotify - C:\WINNT\SYSTEM32\ckpNotify.dll O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\IBM\Bluetooth Software\bin\btwdins.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINNT\System32\ibmpmsvc.exe O23 - Service: Multi-user Cleanup Service - Unknown owner - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe O23 - Service: Tiny Personal Firewall (PersFw) - Tiny Software - C:\Programme\Tiny Personal Firewall\persfw.exe O23 - Service: QCONSVC - Unknown owner - C:\WINNT\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\WINNT\System32\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINNT\System32\S24EvMon.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe Zitieren
Thanks-and-Goodbye Geschrieben 11. September 2005 Geschrieben 11. September 2005 Da gibt es nicht nur einen "Übeltäter", der Rechner hat eine kleine freundliche Breitseite abbekommen. Automatische Auswertung über hijackthis.de: http://hijackthis.de/logfiles/9e94aff85c9fc478d05501cf802e933d.html (drei Tage ab heute abrufbar) Aktualisiere deinen Virenscanner, scan das System mit dem MS Antispywaretool, Adaware und Spybot Search&Destroy durch. Informiere deinen Admin, dass das Firmennetz, in das du dich per VPN einwählst (du verwendest einen Checkpoint VPN-Client und einen Virenscanner für Netzwerkeinsatz, vermutlich auf einem IBM-Notebook) kompromittiert sein könnte. Zitieren
hades Geschrieben 11. September 2005 Geschrieben 11. September 2005 Das sind nur die Eintraege, die mit www.hijackthis.de als definitiv schaedliche Eintraege angezeigt wurden: - iau.exe - stisvsq.exe - svshost.exe - msqdevl.exe - lssas.exe (Sober-Virus) - mservice.exe - C:\WINNT\Nail.exe - C:\WINNT\kjwe.dll Dazu kommen Eintraege, die mit Warnungen versehen sind. U.a diese: - comm.exe - ynzbvm.exe - AUTOCHK.EXE - ABCXYZ.dll Der PC hat zuviele Viren, Trojaner und andere Malware drauf. Schnellste und sicherste Moeglichkeit: Setz den Rechner neu auf. Dabei aber daran denken, dass nach der Installation vom Windows 2000 SP4 kein Schutz gegen Sober/Sasser-Virus besteht. Mit dem Einwaehlen ins Internet haettest Du hier den Virus unter einer Minute wieder drauf. Drei Moeglichkeiten: - Patches gegen Sasser/Sober vorher auf einem anderen System herunterladen und offline auf dem 2000er System installieren oder - Bei Einsatz eines Router dessen Firewall so konfigurieren, dass eingehend nichts erlaubt ist oder - Wenn der PC direkt am DSL-Modem haengt oder ISDN/Modem-Einwahl hat: Installation und Konfiguration einer Personal Firewall, die eingehend nichts erlaubt Dann Windows und den IE auf den letzten Stand bringen: Beim IE ist das der IE6 SP1 und viele nachfolgende Patches. Bei Windows 2000 kamen nach dem SP4 (Erscheinungsdatum: Juni 2003) auch viele Patches heraus. Hier gibt es als Vereinfachung des Updateprozesses ein Rollup Package, was alle Patches bis April 2005 beinhaltet. Danach kamen aber bereits wieder einige Patches heraus. Den Rechner mit dem Dienst Automatische Updates immer auf dem aktuellen Stand halten. Dabei auch den IE/Outlook Express immer mit aktualisieren. Auch daran denken, dass auch fuer MS Office ServicePacks und Hotfixes erhaeltlich sind ( http://office.microsoft.com/de-de/officeupdate/default.aspx ). Genauso gibt es fuer andere Software Updates, z.B. der T-Online-Software. Bei der T-Online Software auch abwaegen, ob die T-Online Software wirklich gebraucht wird. Wenn diese allein die Einwahl macht kann es - ohne Installation der T-Online-Software - einfach per DFUe-Eintrag realisiert werden. - Keine lokalen Adminberechtigungen fuer die taegliche Arbeit Lege Dir fuer die taegliche Arbeit einen Benutzer mit eingeschraenkten Rechten an und nutze die Adminberechtigungen nur dann wenn es noetig ist. Das Ausfuehren von Programmen mit hoeheren Rechten ist mit Ausfuehren als (Shift+rechte Maustaste auf das Programm -> Ausfuehren als) moeglich. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.