[valeron]

Könnt ihr den mal bitte checken?

Logfile of HijackThis v1.99.1
Scan saved at 20:40:21, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
E:\xampp\xampp\apache\bin\apache.exe
E:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
E:\xampp\xampp\mysql\bin\mysqld-nt.exe
E:\xampp\xampp\apache\bin\apache.exe
F:\vmware\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Security\Bitdefender\bdmcon.exe
D:\Programme\Security\Bitdefender\bdnagent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Security\unlocker\UnlockerAssistant.exe
D:\Downloads\I-net Downloads\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Security\Bitdefender\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "D:\Programme\Security\Bitdefender\bdnagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Security\unlocker\UnlockerAssistant.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Clients\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Clients\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{620F26EA-539A-4C5D-9CCB-A7AEA5784400}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Apache2 - Unknown owner - E:\xampp\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - E:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: mysql - Unknown owner - E:\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\vmware\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

(icq und die mysql und apche dienste nicht beachten)

Dieser Beitrag wurde von valeron bearbeitet: 11. Juli 2006 - 19:48

[Spoo]

schaut ok aus. hast du ein Problem gemerkt oder was ist der grund für deine Frage.

[JollyRoger2408]

Hallo,
dein HJT-Log sieht ok aus. Wie kommst du drauf, daß du dir vll. was eingefangen hast? Gibt´s irgendwelche Probs od. ein unübliches Verhalten des Rechners?

[SoniX]

Sieht doch gut aus.

Wo ist das Problem?
Sonst mal Viren gecheckt oder AdAware/Spybot durchlaufen lassen.

Gruß,
SoniX

[Witi]

Auf den ersten Blick fällt mir nur die nicht aktuelle JRE-Version (_07 ist aktuell), sowie die Virenschleuder ICQLite auf

[Sandokan]

Zitat (valeron: 11.07.2006, 20:47)

Könnt ihr den mal bitte checken?

Logfile of HijackThis v1.99.1
Scan saved at 20:40:21, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
E:\xampp\xampp\apache\bin\apache.exe
E:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
E:\xampp\xampp\mysql\bin\mysqld-nt.exe
E:\xampp\xampp\apache\bin\apache.exe
F:\vmware\vmware-authd.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Security\Bitdefender\bdmcon.exe
D:\Programme\Security\Bitdefender\bdnagent.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Security\unlocker\UnlockerAssistant.exe
D:\Downloads\I-net Downloads\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [BDMCon] "D:\Programme\Security\Bitdefender\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "D:\Programme\Security\Bitdefender\bdnagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "D:\Programme\Security\unlocker\UnlockerAssistant.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Clients\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Clients\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{620F26EA-539A-4C5D-9CCB-A7AEA5784400}: NameServer = 192.168.2.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: coursings - {f8d02387-789a-4c0f-a1d8-8a93f33ee4df} - C:\WINDOWS\system32\yephk.dll (file missing)
O23 - Service: Apache2 - Unknown owner - E:\xampp\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - E:\xampp\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: mysql - Unknown owner - E:\xampp\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - F:\vmware\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

(icq und die mysql und apche dienste nicht beachten)

Wieso hast du denn nicht selbst nachgeschaut? Ist doch nicht so schwer...

[valeron]

ich hatte definitiv spyware drauf, der prozess lies sich auch nicht unlocken, beenden oder löschen;
habs dann im abgesicherten entfernt, mein Problem ist nur das ich auch mit den externen scanner gescannt hab, und der auch nichts mehr anzeigt.

Wie wahrscheinluch ist es, das ich mein system nicht reinigen konnte? backup auspielen oder lassen?

[ShadowHunter]

Wie und wo hast dir sie eingefangen?
Was für eine war es?

[valeron]

also ich war ganz normal am surfen, und auf einmal stürzte firefox ab!
10 sec später machte mich ein nettes programm (das ich nie installiert hab) darauf aufmerksam, das ich spyware auf meinem computer hab (was ja auch stimmte), und bot mir an diese zu entfernen.
Dann bin ich in den abgesicherten und habs gelöscht.

Der Prozess hieß dcmcfg.exe laut Bitdefender war es der Trojan Zlob
aber wenn hijack this nicht ungewöhnliches anzeigt und der externe scanner auch nicht spiel ich kein backup auf, desweiteren wurde er eh als einfach zu entfernen aufgelistet.

Dieser Beitrag wurde von valeron bearbeitet: 13. Juli 2006 - 14:40

[flo]

Zitat

Der Prozess hieß dcmcfg.exe laut Bitdefender war es der Trojan Zlob
aber wenn hijack this nicht ungewöhnliches anzeigt und der externe scanner auch nicht spiel ich kein backup auf, desweiteren wurde er eh als einfach zu entfernen aufgelistet.

Wrs glaubt... ich würde den Rechner als Kompromittiert betrachten

[valeron]

is klar dass man nie 100% sicher sein kann, aber da selbst der externe scanner nichts anzeigt, kann ich mir
_genauso_ sicher sein wie vorher, das ich nicht befallen bin.

Was mich aber noch interessieren würde:
ich habe als virenscanner die free version von bitdefender, die also nur on demand schutz bietet.

grundsätzlich hat bitdefender den Virus/die spyware erkannt, als ich später manuell das system gescannt habe. Ich war aber schon befallen und bitdefender konnte den virus nicht entfernen da er schon aktiv war.

Heißt dass, das mir in diesem fall ein on-access schutz hätte helfen können, da dann bitdefender möglicherweise den virus schon hätte erkennen können bevor er überhaupt zum ersten mal auf dem system aktiv werden konnte?

(vielleicht kann Rika ja mal was dazu sagen)

[CBY]

Zitat (valeron: 14.07.2006, 12:18)

Heißt dass, das mir in diesem fall ein on-access schutz hätte helfen können, da dann bitdefender möglicherweise den virus schon hätte erkennen können bevor er überhaupt zum ersten mal auf dem system aktiv werden konnte?

Im Idealfall landen ausschließlich Daten auf dem Rechner, die Du aktiv herunterlädst. Verdächtige prüfst Du dann eben manuell. Wo hätte der Virus bei einem halbwegs abgesicherten System (siehe "How To") und normalem Surfverhalten herkommen sollen? Wenn Du wirklich glaubst, dass Dein Rechner im Hintergrund heimlich unbemerkt irgendwelchen Schadcode ausführen könnte, liegt das Problem ganz woanders.

[valeron]

Mein System ist sicher:
War die neueste Firefox Version, Windows hatte auch die neuesten Updates, ich war als eingeschränkter User
unterwegs,...............

aber wenn Firefox eine Lücke hat die es erlaubt code auszuführen kann ich da auch nichts gegen machen,
und bekanntlich gibt es auch schadsoftware die unter eingeschränkten Konten läuft!

deshalb auch meine frage mit dem on access scan.

[CBY]

Zitat (valeron: 14.07.2006, 13:15)

aber wenn Firefox eine Lücke hat die es erlaubt code auszuführen kann ich da auch nichts gegen machen,
und bekanntlich gibt es auch schadsoftware die unter eingeschränkten Konten läuft!

Dann hast Du Dich also auf Seiten herumgetrieben, die nicht vertrauenswürdig sind.

Zitat

und bekanntlich gibt es auch schadsoftware die unter eingeschränkten Konten läuft!

Und Du glaubst, die lässt sich so einfach von einem Echtzeitschutz erkennen?

Dieser Beitrag wurde von CBY bearbeitet: 14. Juli 2006 - 12:30

[valeron]

Man, man

Zitat

Dann hast Du Dich also auf Seiten herumgetrieben, die nicht vertrauenswürdig sind.

ja genau ich werde nie wieder im web nach etwas suchen und immer nur bei spiegel online bleiben.

Zitat

Und Du glaubst, die lässt sich so einfach von einem Echtzeitschutz erkennen?

das ist genau meine frage RMFP bei einem full system scann hat er ja alles erkannt also wäre das
imho beim on access scann auch so.