Druckversion des Themas

Geschrieben von: relaX 16.04.2006, 14:05

Hallo,

ich hoffe das ich dies im richtigen Forum Poste aber ich weiß nicht mehr weiter.

Gestern wurde mein Pc plötzlich total langsam und ich brauchte ewig um programme zu starten. Nachdem das wieder einigermassen ging sah ich das mein Taskmanager nicht mehr auf zu rufen war und auch mein Virusscan disabled war, ausserdem waren meine Administratoren rechte weg, so das ich nicht einmal den regeditor starten konnte. Ich googelte ein wenig und fand ein forum wo jemand das gleich prob hatte. Lies dadurch dann den cleanup laufen und avg antivirus. Die progs deleteten dann einige ciadoor sachen. Hab dann HijackThis gemacht und (hoffentlich) gefixt aber ich seh trotzdem leider überhaupt nicht durch was ich noch alles machen muss damit mein System wieder richtig läuft. Meine Firewall geht immer noch nicht auch hab ich keine ahnung ob alle meine Adminrechte wieder da sind. Taskmanager ist zwar nicht mehr grau unterlegt aber wenn ich ihn aufrufen möchte erscheint er nicht. Hier nun mein HijackThis logfile.


Logfile of HijackThis v1.99.1
Scan saved at 14:43:42, on 16.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\-editiert-\-editiert-\-editiert-\-editiert-Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\A4Tech\Mouse\Amoumain.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Installprogs\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - (no file)
O2 - BHO: (no name) - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - (no file)
O2 - BHO: (no name) - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - (no file)
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: VS_IEHlprObj Class - {829CAB51-A4EA-4a15-87B6-4B7D0747939C} - C:\Programme\Network Associates\VirusScan\bho.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [-editiert-Tray] "C:\Programme\-editiert-\-editiert-\-editiert-Tray.exe" /s
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [WheelMouse] C:\Programme\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1139334416421
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) -
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\system32\svchost.exe (file missing)
O23 - Service: -editiert- iSCSI Service (-editiert-Service) - Rocket Division Software - C:\Programme\-editiert-\-editiert-\-editiert-\-editiert-Service.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

Geschrieben von: Kenshiro 16.04.2006, 14:23

Hallo relaX,

erstmal herzlich Willkommen.

Nun zu Deinen Problem. Das einzigste Brauchbare, was ich fand, ist 1 Erklärung, wie man diesen Backdoor manuell entfernen kann/könnte. Ob´s 100% klappt - Keine Ahnung

Guckst Du hier: http://www.f-secure.de/v-desk/ciadoor.shtml

Hoffe es hilft Dir...

Geschrieben von: Yopie 16.04.2006, 14:23

Bei einer Infektion mit einem Backdoor sollst du formatieren und neu aufsetzen. http://www.trojaner-board.de/showthread.php?t=12154 steht alles zum Warum und Wie!

Übrigens: Von alleine kommt so ein Backdoor nicht auf den Rechner. Wenn dein Betriebssystem sicher war (Patchlevel aktuell?), dann hast du dir den selbst installiert.

Geschrieben von: Yopie 16.04.2006, 14:56

Siehe auch http://www.trojaner-board.de/showthread.php?t=28466

Geschrieben von: Heike 16.04.2006, 15:39

<off-topic>
auch bei xp-pro-sp1 muß man klicken, um einen Backdoor zu installieren.
eigene erfahrung.
<off-tipic-end>

Geschrieben von: Yopie 16.04.2006, 15:43

Es kommt drauf an. Siehe RBot. Entsprechende Erläuterungen bitte selbst googeln.

Geschrieben von: Heike 16.04.2006, 17:06

nein danke, brauche ich nicht mehr.

ports zu sind ports zu, so einfach ist das.

Geschrieben von: Yopie 16.04.2006, 17:31

Deswegen schrieb ich: "Es kommt drauf an." In der damaligen Windows-Default-Einstellung musste man eben nicht mehr klicken, um sich einen Backdoor zu installieren.

Das kannst du leicht selbst überprüfen, indem du einen SP1-Rechner ohne die nötigen Patches und ohne Firewall mit den Defaulteinstellungen direkt, also ohne Router, ans Netz hängst.

Geschrieben von: Heike 16.04.2006, 17:43

ich glaube es dir auch so.
waren nicht nur unupgedatete Systeme betroffen?
nichtsdestotrotz, auch xp pro sp1 kann sicher sein, der größte Bug sitzt immer vor dem PC.

Geschrieben von: Yopie 16.04.2006, 17:49

So ist es, und so steht es geschrieben.

Geschrieben von: Jens1962 16.04.2006, 17:56

Macht Ihr jetzt einen Wettbewerb, wer am Besten ein neues Mitglied verwirren kann

@relaX
Ich kann in Deinem Log nichts sehen, was so richtig gefährlich sein soll.
An Deiner Stelle würde ich trotzdem auch den sicheren Weg der Neuinstallation gehen, alle Paßwörter ändern usw.
Es läßt sich jetzt nicht mehr feststellen, was wirklich auf Deinem Rechner war und was das Programm schon für Schaden anrichten konnte - zumal Dein Windows immer noch nicht sauber läuft.

Gruß Jens

Geschrieben von: Yopie 16.04.2006, 18:00

Ja. Einigen wir uns auf Unentschieden?

Geschrieben von: Heike 16.04.2006, 19:29

einverstanden.

Geschrieben von: Julian 17.04.2006, 11:32

da sind ein paar einträge drinn, die besser schnell wegeditiert werden sollten
manche software ist in der eu nämlich verboten

Geschrieben von: Manu 17.04.2006, 11:59

Du hast Recht, das ist teilweise sehr heikel. Manche Namen dürfen noch nichtmal genannt werden. Und bei den http://www.rokop-security.de/index.php?showtopic=11258 ziehe ich es vor, den BadWord-Filter lieber etwas strikter zu erweitern, zumal diese Programme für eine Lösungsfindung sowieso nicht von Belangen sind. "-editiert-" ist der neue Platzhalter.

Geschrieben von: Jens1962 17.04.2006, 12:20

Was ist daran heikel?
Altbestände von derartiger Software müssen (außer bei gewerblicher Nutzung) nicht deinstalliert werden. Sie dürfen auch weiterhin verwendet werden, außer natürlich zur Umgehung vom Kopierschutz.
Genausowenig müssen Dateien vernichtet werden, die vor Inkrafttreten des neuen Urheberrechtes (nach heutigen Maßstäben illegal) kopiert wurden.
Alc-ohol 120% läßt sich heute noch legal erwerben, falls noch jemand den Alcoholer hat-->s.o.

Gruß Jens

PS: Das "editiert" ist einfach (censored), vor allem bei legalen Programmen.
Alc-ohol 120% -editiert-%, Jehova

Geschrieben von: Manu 17.04.2006, 12:28

Die unklare Rechtssprechung. Material gibt's dazu genüge.
Hindert es dich bei der Suche nach Schadprogrammen im HijackThis-Log? Nein, also.

Geschrieben von: Jens1962 17.04.2006, 12:53

Natürlich gibt es das Material, z.B. http://www1.conrad.de/scripts/wgate/zcop_b2c/?~template=pcat_product_details_document&object_guid=D6F02E4368B0A77EE10000000A010221&master_guid=&master_typ=&no_brotkrumennavi=&ownrow=1&p_load_area=0418066&p_artikelbilder_mode=Ein&p_sortopt=object_description&page=1&p_catalog_max_results=25&cachedetail= oder auch http://www.amazon.de/exec/obidos/ASIN/3772395708/preisroboterd-21/ref%3Dnosim/028-2389482-7769325

Geschrieben von: Manu 17.04.2006, 12:54

Danke.

Geschrieben von: Jens1962 17.04.2006, 13:01

Bitte.
Die 1er Versionen waren für illegale noch etwas besser, vor allem wenn der A...ler, am Besten in Verbindung mit Cl...XL, ins Spiel gekommen ist. Die 2er Versionen sind etwas weichgespült.
Ist gar nicht so einfach, legale und nicht mehr legale Versionen auseinanderzuhalten.

Gruß Jens

Geschrieben von: Julian 17.04.2006, 23:03

heisst das jetzt, es gibt von alcohoI 120% 2 versionen?
eine "ich kann alles" und eine, die in sachen kopierschütze umgehen sehr beschränkt ist?

wenn es so ist, meine ich, die nicht entschärfte version wär in der eu verboten.

Geschrieben von: Jens1962 17.04.2006, 23:06

http://www.rokop-security.de/index.php?showtopic=11277&view=findpost&p=143680

Hat sich nichts geändert seit gestern Mittag.

Geschrieben von: Julian 17.04.2006, 23:26

sry, habe nicht genau gelesen