[débutante]

Nun, ich muss leider zugeben, dass ich absouluter Anfänger bin, darum würde ich euch um eure Hilfe bitten.

Also, um meine Situation zu erklären...

Ich habe vor kurzem einen I-net Anschluss bekommen (W-LAN) und bin am ersten Tag natürlich sehr lange am PC gesessen, doch dann hatt er anefangen langsamer zu werden, ist permanent abgestürzt und ich habe ihn auch öfter, ohne ihn herunterzufahren, ausgeschalten. Und jetzt, komme ich zwar rein, aber es wird ein Fehler gemeldet der etwas mit "FireDaemon.exe" zu tun hat und es ist alles blockiert, also ich kann nichts machen. Momentan bin ich unter abgesichertem Modus drinnen, denn Normal lässt sich nichts mehr machen.

Ich wäre wirklich dankbar, wenn mir jemand helfen könnte!!!

mfg débutante

[Elren Luthien]

So ganz genau weiss ich nicht was diese exe ist...

aber:

Zitat

FireDaemon ist ein Programm, dass es gestattet Skripte, oder Programme als XP-Dienst zu starten. Wenn Du dieses Programm nicht selbst installiert hast und verwendest, wäre es möglich, dass über diese legitime Applikation Malware als Dienst gestartet werden soll.

nach ein wenig googeln, bin ich mir ziemlich sicher das Dein PC verseucht ist.

Thread dazu:

http://www.mcseboard...?threadid=10186


das sagt Sophos:

http://www.sophos.de...s/w32mumab.html


Hast Du Dein WLAN geschützt/verschlüsselt? Virenscanner mal durchlaufen lassen?
HiJackthis-Log wär auch net verkehrt...

[débutante]

also den Virenscanner hab ich durchlaufen lassen und der hat 5, mit "worm.mytob.gh, infizierte dateien gefunden. Die hab auch auch entfernt. Aber mein PC lässt sich immer noch nicht normal starten.

Ich hab zwar viel recherchiert über den "FireDaemon" aber so richtig kappier ich es nicht.

Was "HiJackthis-Log" ist weis ich leider auch nicht.

Und meinen LAN-Anschluss hab ich auch nicht sichern lassen.

Wie man merkt, bin ich eine Person die sichso gut wie gar nicht auskennt, aber bereit bin was dazu zu Lernen.

Ich danke trotzdem für die Informationen.

[Ü40]

http://www.hijackthis.de/de


Ü40

[Elren Luthien]

gut, also :


1. www.hijackthis.de

runterladen, das Log dann bitte hier posten.

ich weiss jetz aber nicht wie sich das mit dem Teil im abgesichertem Modus verhält


2. dann mal die angepinnten Threads im Sicherheitsforum lesen, da gibts viel wissenswertes.


3. da du dein netz nicht ausreichend geschützt hast, gehe ich jetz mal davon aus das du opfer eines angriffes wurdest.

im zweifel würde ich das system neu aufsetzen, zur sicherung deines wlans können wir dir dann gerne weiterhelfen, musst uns nur sagen was für hardware du hast.


Gruss, Elren.

[débutante]

also der 1 Punkt wäre mal getan,ich lese mir auch gerne die angepinnten Threads durch!
nun, dass mit dem Aufsetzen wäre kein Problem, hab mir auch schon überlegt das morgen zu machen.

Ich hätte da noch ein paar Fragen und zwar, wenn ich neu aufsetzen würde was müsste ich da danach machen, Sicherheitsmäßig?
Logfile of HijackThis v1.99.1
Scan saved at 18:50:55, on 26.10.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dzenita Redzic\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem220.dll
O2 - BHO: (no name) - {00DBDAC8-4691-4797-8E6A-7C6AB89BC441} - C:\WINDOWS\system32\xxyxy.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem303.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [COM+ OLE Application] win32ole.exe
O4 - HKLM\..\Run: [Services] c:\sxe4.tmp
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [COV5bbA] C:\WINDOWS\katflr.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [IE HTTP Support] iexplorer.exe
O4 - HKLM\..\Run: [COV÷h$vùõš/‚²�ÆßfÏC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\katflr.exe
O4 - HKLM\..\Run: [Microsoft PC Health Remote Assistance File Open & Save controls] sfrcdlg32.exe
O4 - HKLM\..\Run: [\SWO] c:\windows\mrjj.exe
O4 - HKLM\..\Run: [noC=] C:\windows\mrjj.exe
O4 - HKLM\..\Run: [svchost] scvhst.exe
O4 - HKLM\..\Run: [Auvqor] C:\Program Files\Uuow\Jgtsltp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunServices: [COM+ OLE Application] win32ole.exe
O4 - HKLM\..\RunServices: [IE HTTP Support] iexplorer.exe
O4 - HKLM\..\RunServices: [Microsoft PC Health Remote Assistance File Open & Save controls] sfrcdlg32.exe
O4 - HKLM\..\RunServices: [svchost] scvhst.exe
O4 - HKLM\..\RunOnce: [svchost] scvhst.exe
O4 - HKLM\..\RunOnce: [COM+ OLE Application] win32ole.exe
O4 - HKLM\..\RunOnce: [IE HTTP Support] iexplorer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [COM+ OLE Application] win32ole.exe
O4 - HKCU\..\Run: [IE HTTP Support] iexplorer.exe
O4 - HKCU\..\Run: [svchost] scvhst.exe
O4 - HKCU\..\RunOnce: [IE HTTP Support] iexplorer.exe
O4 - HKCU\..\RunOnce: [COM+ OLE Application] win32ole.exe
O4 - HKCU\..\RunOnce: [svchost] scvhst.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: *.media-motor.net
O15 - Trusted Zone: *.popuppers.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.tbcode.co...006_regular.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangoc...e/bridge-c6.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: awtqr - C:\WINDOWS\SYSTEM32\awtqr.dll
O20 - Winlogon Notify: xxyxy - C:\WINDOWS\SYSTEM32\xxyxy.dll
O23 - Service: FireDaemon Service: Logon (Logon) - Unknown owner - C:\WINDOWS\system32\spool\prtprocs\dll\FireDaemon.EXE
O23 - Service: Local Security Authority Subsystem Service (lsass) - Unknown owner - C:\WINDOWS\lsass.exe
O23 - Service: Printer Spooler (printspool) - Unknown owner - C:\WINDOWS\spooler32.exe
O23 - Service: SMSS - Unknown owner - C:\WINDOWS\smss.exe
O23 - Service: FireDaemon Service: System (System) - Unknown owner - C:\WINDOWS\system32\spool\prtprocs\dll\FireDaemon.EXE
O23 - Service: AntiVir Update Temp (TmpUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\DOKUME~1\DZENIT~1\LOKALE~1\TEMP\_VWUPSRV.EXE

und noch mal VIELEN,VIELEN DANK!

[The Dog]

Autsch. Hier deine Auswertung. Mach das System platt, alles andere hat keinen Sinn!
Und bevor du das System neu aufsetzt und wieder anfängst gedankenlos zu installieren lies dir die gepinnten Threads durch.
http://www.winfuture...hp?showforum=34

Dieser Beitrag wurde von avnas bearbeitet: 26. Oktober 2005 - 18:32

[Graumagier]

Das sieht ja grässlich aus...

Bzgl. Sicherheit-Tipps nach dem Neuaufsetzen siehe hier.

[flo]

Oh, das sieht nicht wirklich gut aus. Mal sehen was es ist.

Außerdem warum hast du nicht den Service Pack 2 Installiert?

Hier ist die Auswertung

http://www.hijackthis.de/logfiles/8ec86557...7475992be9.html


Alles was Rot ist, bitte Fixen, und alle Dateien die bei den gelben Einträgen stehen, hier

http://virusscan.jotti.org/de/

hochladen (nacheinender) und auf maleware überprüfen lassen, das ergebnis bitte hier Posten

[Graumagier]

Also wenn er hier mit herumfixen anfängt ist er mit einer Neuinstallation schneller dran. Und sicherer ist eine solche sowieso.

[The Dog]

@Flo: Denkst du wirklich das das fixen noch was bringt. In so einem krassen Fall sollte er auf Nummer Sicher gehen, oder?

Edit: Mist, Graumagier war schneller.

Dieser Beitrag wurde von avnas bearbeitet: 26. Oktober 2005 - 18:38

[flo]

Es wäre aber schon interesant zu wissen was er hat, die Gelben sachen sehen alle sehr verdächtig aus, sind aber bei Hijackthis, oder bei Google nicht bekannt, deswegen wäre es nicht verkehrt wenn wir ein bissel näher drauf eingehen

[The Dog]

Das können wir aber auch machen wenn er sein System neuaufsetzt. Das Log haben wir ja.

[Graumagier]

Na gut, aber dann soll er zumindest den PC vom Netz nehmen

[flo]

Zitat

Das können wir aber auch machen wenn er sein System neuaufsetzt. Das Log haben wir ja.

Toll, aber nicht die nötigen Dateien, die befinden sich nämlich auf seinem PC

Dieser Beitrag wurde von Flo bearbeitet: 26. Oktober 2005 - 18:58