[homework]

ich habe ein problem,
ich habe gestern meinen rechner neu formartiert und winxp neu druaf gespielt


nach dem auch mein internet und so alles ging, habe ich einen haufen spyware und wie das alles heißt drauf


mein ad-ware findet bei jedem durchlauf gut neue sachen
und mein spybot search&destroy findet auch sachen, sagt aber als, das er sie nicht löschen kann, weil die irgendwie im speicher noch sind, selbst nach nem neu start, sind die noch drin.

was gibs denn noch, das ich entlich mal die ganze scheiße vom rechner bekomme?


über hilfr würde ich mich freuen.

mfg

[flo]

Hallo


Lade dir von

www.hijackthis.de das Prog Hijackthis runter, und erstelle damit LOG

Das Postest du dann wieder hier, und dann sehen wir weiter

Dieser Beitrag wurde von Flo01 bearbeitet: 01. Mai 2005 - 10:09

[homework]

soll ich dir dann das alles rein kopieren, was da in der testdatei steht?

[flo]

ja alles was in der Textdatei steht

[homework]

Logfile of HijackThis v1.99.1
Scan saved at 11:13:01, on 01.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\pah.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\seeve.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
C:\Programme\Winamp\winampa.exe
C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\MirarSetup.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFAGENT.EXE
C:\Programme\MSI\PC Alert 4\PCAlert4.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Programme\SinEspias\No-Spy.exe
C:\hackjis\HijackThis.exe
C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\Upgrader3.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.co...earch_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [System Services] pah.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitexxc32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [seeve] C:\WINDOWS\seeve.exe
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToolbarInstall] C:\DOKUME~1\ANSCHW~1\LOKALE~1\Temp\MirarSetup.exe
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\RunServices: [System Services] pah.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Services] pah.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: PC Alert 4.lnk = C:\Programme\MSI\PC Alert 4\PCAlert4.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {886D0EE4-DECB-49D5-AF5A-C6E35F416AC7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {886D0EE4-DECB-49D5-AF5A-C6E35F416AC7} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://198.88.20.155/targ.chm::/win32.exe
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} -
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/m...90/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/m...,23/mcgdmgr.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3E823EC-E371-4D8D-93EF-241DAB32A93D}: NameServer = 217.237.149.161 217.237.151.225
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - McAfee, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFSERVICE.exe
O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR1\RpcSandraSrv.exe

[Mal4ik]

Also als erstes empfehle ich dir mal das Sp2 drauf zu ziehen und alle die patches die seither rausgekommen sind !! Wenn du dir nicht jeden Patch einzelnt drauf ziehen willst gibt es so ein Pack das alle patches beinhaltet die nach dem SP2 rausgekommen sind (verwende die Suchfunktion bei WF).

Zu der Spyware: Du hast nach jedem Neustart wieder die selbe Spyware drauf ? Hast du mal nach Browser Hijacker geguckt ? macht sich das bei dir irgendwie bemerkbar ? PC Auslastung ? Startseite beim Browser nicht mehr veränderbar ? Immer die gleichen Pop up Werbung ?

Ach hast du vielleicht auch mal deinen Autostartordner gecheckt ? Ob da was ungewöhnliches drin steht ?
Du sagtest du hast Spybot installiert. Da gibts wenn du reingehst unter Werkzeuge und Autostart eine genau Auflistung der Programme die beim Pc gestartet werden würde ich auch mal checken !!

[flo]

Lad die mal escan runter

das bekommst du hier

http://www.trojaner-...ker/escan.shtml

beachte die anleitung!

scanne den PC im abgesicherten modus

Wichtig Aktiviere Scan all Files und Scan all local Drives

das ergebnis poste wieder hier


Ich vermute dieses hier ist maleware

C:\WINDOWS\System32\pah.exe

[dEviL2k4]

Ähm ja,

altes Java ^^

Also bei mir is das so, dass ich ohne SP2 nicht mehr sicher ins Internet kann. Es kommt nur Kacke aufn Rechner das du gleich wieder formatieren kannst.

Mein Tip:

Erstell dir mit nLite oder dem ISO Maker ein WinXP mit integriertem SP2!
Solltest du mit SP1 anfangen wollen und gleich ins Internet gehen, lad dir von nem sicheren Rechner ZoneAlarm Firewall runter, brenn auf CD oder USB Stick und installier sie und stell sie richtig ein, bevor du ins Net gehst. Bei mir hilft das.

Noch ein gutes Anti Spyware Prog is Spyware Blaster! Gibts auf http://www.javacools...areblaster.html

GL & HF

[homework]

thx
mal gucken
also ich ahbe jetzt sicherheitsupdates gmeacht, lade mir gerade das sevicepack 2 runter.

aber zonealarm ist dumm, ich aheb das security center von macaffee, also virus und firewall, und bin hinter dem t-sinus 154 dsl router,
ich hatte die probleme vorher nie, bis auf gestern heute, bei der neu formatierung.

ich habe jetzt ad-aware, spybot search&destroy und spysweeper durchlaufen lassen, aber irgendwie bleiben immer noch die selben drauf, und spybot sagt, die er sie nicht löschen kann, weil die irgendwie noch im speicher sind, nach nem neustart sollten sie weg sein, aber fehlanzeige

das ist doch alles kacke

[dEviL2k4]

Formatier nochma neu würd ich sagen und beachte die Sicherheit (so würd ichs machen)!

[Graumagier]

Zitat

aber zonealarm ist dumm, ich aheb das security center von macaffee, also virus und firewall,

Die PFW von McAfee ist genauso dumm, das lesen, außerdem das und das.

Dieser Beitrag wurde von Graumagier bearbeitet: 01. Mai 2005 - 17:30

[Rudi99]

Ja Super: hier wird jemand mit einem verseuchten Rechner (evtl. Viren, Würmer Trojaner und Spyware) aufgefordert, einfach nochmal ins Internet zu gehen, sich Hijackthis runterzuladen und dann wieder ins Netz und das Log hier zu posten. Eigentlich unnötig, die Auswertung kann dort auch direkt vorgenommen werden...

Nachdem dann wohl keiner richtig was damit anzufangen wusste, soll er doch bitte nochmal (!) ins Netz und sich noch ein anderes Tool runterladen und es damit "mal probieren".

Wie oft kommt dieses Spiel noch? Was soll das denn? Hinhalten, bis er's von alleine aufgibt und neu partitioniert?

Wenn schon, dann bitte so:

Da es jetzt eventuell eh schon zu spät ist und noch nicht viele Installationen gelaufen sind: Wenn schon ins Netz, und wenn kein anderer Rechner zur Verfügung steht, dann nur noch

WinXP SP2: http://windowsupdate.microsoft.com/
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html

...und alles auf ne andere Partition, USB-Stick o.ä. Auf keinen Fall dauernd wieder ins Netz und noch mehr Würmer nachladen oder Dateien und Passwörter durch die Gegend schicken!

Dann mittels XP-CD Bootpartition löschen, dieselbige neu formatieren und XP neu installieren. Dann erst SP2 drauf und ne Antivirus-Software. Dann, falls entsprechendes Knowhow besteht, die Dienste konfigurieren / XP sicher machen.

Alles andere ist Zeitverschwendung und stümperhaftes Herumprobieren.

Dieser Beitrag wurde von Rudi99 bearbeitet: 01. Mai 2005 - 18:32

[flo]

@Rudi99

Hallo?


solange nicht bekannt ist um welche art von Maleware es sich handelt kann man auch nicht sagen was man machen soll! Und man weiß immer gerna um was es sich handelt, kann ja auch was neues sein!

und zum Thema Hijackthis selbst auswerten: Was galubst du hätte ihm das gebracht?

Dieser Beitrag wurde von Flo01 bearbeitet: 01. Mai 2005 - 19:09

[Graumagier]

Zitat

Wenn schon ins Netz, und wenn kein anderer Rechner zur Verfügung steht, dann nur noch

Im Netz ist im Netz. Dabei macht es keinen Unterschied, auf welcher Seite er sich befindet.

Zitat

WinXP SP2: http://windowsupdate.microsoft.com/
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html

Wieso? Wie du schon richtig sagt, sollte er sich bei einer Kompromittierung aus dem Netz fernhalten. Dann solltest du aber auch wissen, dass herumdoktern mit den von dir genannten Tools in diesem Fall nicht mehr viel bringt.

Zitat

...und alles auf ne andere Partition, USB-Stick o.ä.

Dumm.

[Koopatrooper]

Zitat

Da es jetzt eventuell eh schon zu spät ist und noch nicht viele Installationen gelaufen sind: Wenn schon ins Netz, und wenn kein anderer Rechner zur Verfügung steht, dann nur noch

WinXP SP2: http://windowsupdate.microsoft.com/
optional http://www.free-av.d.../allinoned.html
optional http://vil.nai.com/vil/stinger/
optional http://www.spybot.info/de/index.html

...und alles auf ne andere Partition, USB-Stick o.ä. Auf keinen Fall dauernd wieder ins Netz und noch mehr Würmer nachladen oder Dateien und Passwörter durch die Gegend schi

Kann mich meinem Vorredner nur anschließen, ist der Rechner infiziert, hilft nur formatieren. Dann sind die von dir genannten Tools aber sinnlos, und können bestenfalls später zur Vorbeugung genutzt werden. Dateien verschieben ist auch sinnlos, da man wahrscheinlich infizierte dateien auf den USB Stick etc schiebt und spätestens beim Wiedereinspielen dieser Backups ist der Rechner wieder infiziert.