lauro.d Geschrieben 28. Dezember 2005 Teilen Geschrieben 28. Dezember 2005 Hallo zusammen Ich beschreibe mal kurz, wo mein Problem liegt: Wenn ich am PC etwas schaffe, spiele, im Internet surfe usw., wird meine Tätigkeit in relativ regelmässigen Abständen unterbrochen, und zwar von einer sich selbst "ausführenden" Datei (keine Ahnung wie man das nennen sollte) namens C:\WINDOWS\system32\cmd.exe. Dieser "Prozess" öffnet - ohne meine Einwilligung - einfach 2 IE-Seiten auf (immer Werbeseiten). Das Problem habe ich seit ca. 4 Tagen und ich weiss mir wirklich nicht mehr zu helfen, denn ich bin nicht einer, der sich super gut mit dem PC auskennt. Ich habe natürlich schonmal einen Virenscann gemacht, der auch einiges gefunden hat, das Problem aber nicht beheben konnte, und ich habe dieses Programm "HijackThis.exe" mal auf meinem Computer laufen lassen, welches auch wieder einiges fand. Da habe ich auch alles gelöscht, was es mir "empfohlen" hatte, doch eine Verbesserung der Lage? Nein. Noch immer öffnen sich 2 IE-Seiten (ach ja, ich benutze eigentlich nur Mozilla Firefox). Das nervt vorallem während Spielen, welche dann einfach unterbrochen werden... Ich habe mich ein wenig erkundet, was das sein könnte, und bin dabei auf den Namen bzw. Wurm Nimda-Wurm gestossen. Nur ist der schon gute 4 Jahre alt, was mich ein bisschen wunderte. Kann der noch immer PCs infizieren? Ich benutze ausserdem Windows XP, habe Norton Antivirus und mein PC ist ein gutes Jahr alt. Ich hoffe, jemand kann mir weiterhelfen MfG lauro.d Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 28. Dezember 2005 Teilen Geschrieben 28. Dezember 2005 Hijackthis war schon einmal eine sehr gute Idee. Poste doch bitte mal das Logfile, da können wir dann genauer sehen, was los ist. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lauro.d Geschrieben 28. Dezember 2005 Autor Teilen Geschrieben 28. Dezember 2005 Logfile of HijackThis v1.99.1 Scan saved at 17:29:40, on 28.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\WINDOWS\System32\DVDRAMSV.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\svchost.exe C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Creative\MediaSource\Detector\CTDetect.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\little_helper2\little_helper2.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Raoul\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewar.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\ovbc32gt.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Hier die gewünschte Logfile. Wie gesagt, ich habe schon einen Teil gefixed, was mir eben empfohlen wurde. Mal schauen ob ihr mehr rausfindet, Noch etwas, in den letzten 3 Stunden hatte ich das problem nicht mehr, ich habe allerdings nichts verändert. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Manitu71 Geschrieben 28. Dezember 2005 Teilen Geschrieben 28. Dezember 2005 na das Logfile sieht doch gar ned so schlecht aus probier die noch zusätzlich aus: SpyBotSD CWShredder ich mach auch immer ne Kombi. Denn was der eine ned find, findet der andere Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 28. Dezember 2005 Teilen Geschrieben 28. Dezember 2005 Den hier: O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe solltest du auch noch beseitigen. Der sollte eigentlich verantwortlich für deinen Ärger sein. http://securityresponse.symantec.com/avcenter/venc/data/adware.littlehelper.html Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Manitu71 Geschrieben 28. Dezember 2005 Teilen Geschrieben 28. Dezember 2005 den habe ich auch schon gesehen. Der taucht auch noch an anderer Stelle im Log auf. Wird teilweise auch als nützliches Tool gehandhabt, habe ich gelesen. Drum hatte ich hierzu nichts bemerkt Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lauro.d Geschrieben 29. Dezember 2005 Autor Teilen Geschrieben 29. Dezember 2005 Vielen Dank erstmal für die Antworten. Habe den littlehelper mal gelöscht und bin gespannt auf das Resultat. Wenn das problem behoben ist, seid ihr die Grössten (Ihr seid auch so genial) Falls wir uns nicht mehr lesen, ein schönes neues Jahr lauro.d Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
babl Geschrieben 5. Januar 2006 Teilen Geschrieben 5. Januar 2006 Lösch den Kram sonst per "Killbox" ( wenn die File sich weigert - umbenennen und Dummy erstellen ... Mit kILLbox lässt sich jeder fast jeder Trojaner weglöschen ... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 Ein vernünftiger "Trojaner" läßt sich so gut wie gar nicht bemerken löschen. Vor allem auf lange durchlaufenden Kisten werden von Leuten mit Plan von der Materie nur noch Tools engesetzt die sich per DLL-Injection einbringen, also noch nicht mal eigene Prozesse forken und komplett im RAM laufen. Die sind mittlerweile so weit evolutioniert das man beliebige DLLs nachladen kann die auch im RAM bleiben. Können natürlich auch auf die Platte schreiben, dann ist es aber recht komplex sie u verstecken da einfache Syscal-Hoks mittlerweile ganz gut zu entdecken sind... Ich bin recht fit in dem Bereich aber mitlerweile existieren sicher Technken um auch diese Erkennungsvektoren zu umgehen... Fazit: Wenn jemand mit Wissen versteckt bleiben will tut er das, wer noch als Admin arbeitet oder auf Virenscaner vetraut den kann man nur noch Auslachen... Jeder gängige Trojaner ist innerhalb einigen Minuten so zu modifizieren das er zu 90 % nicht von gängiger AV-Software erkannt wird da diese immer noch größtenteils signaturbasiert arbeitet. Man ändert ein paar Offsets im Code und fertig... Ist keine Panikmache --> Ist Fakt... mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
babl Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 die inject.c Geschichte hat mittlerweile aber schon nen verdammt langen Bart Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
cane Geschrieben 6. Januar 2006 Teilen Geschrieben 6. Januar 2006 die inject.c Geschichte hat mittlerweile aber schon nen verdammt langen Bart Kenne ich gar nicht - redest Du von DLL-Injection oder ist das lediglich Source zum Einblenden von Code in den Raum eines Prozesses der dann einen neuen Prozess forked? mfg cane Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.