Druckversion des Themas

Geschrieben von: pluggulp 28.05.2009, 10:50

Hi,

seit einiger Zeit ist Goggle bei mir ziemlich am spinnen, daher schick ich mal mein log. Vielleicht stimmt auch was mit meinem Firefox nicht?

Vielen Dank



Logfile of HijackThis v1.99.1
Scan saved at 11:39:08, on 28.05.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Schutzprogramme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TEMP\tempo-142828.tmp
C:\Programme\Schutzprogramme\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.losstarten.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SCHUTZ~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /M "Stylus C64" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Schutzprogramme\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Allow Popups - C:\Programme\Meaya\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SCHUTZ~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SCHUTZ~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://download.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{B837FDA4-358B-4BE5-8447-DACBBA262B7D}: NameServer = 85.255.112.11,85.255.112.139
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.11,85.255.112.139
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.191,85.255.112.78
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.11,85.255.112.139
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Geschrieben von: peks 28.05.2009, 11:30

Ja, erstmal nutzt du eine uralte Version vom Internet-Explorer..mir unbegreiflich und zweitens sind deine Nameserver ukrainisch (P.S. und zwar im Adressbereich der berühmt-berüchtigten UkrTeleGroup, die zu einem hohen Prozentsatz Seiten mit Malware und anderem Krams hostet)

Fazit: Ja, da is was faul, die genaue Analyse können ja die HJT-&Win Experten hier vornehmen...

Geschrieben von: raman 28.05.2009, 11:40

Im Grunde ist es genau das was peks gesagt hat, was fehlt ist noch die Empfehlung den Rechner neu aufzusetzen und entsprechend Windows mit allen Updates zu versorgen...

Geschrieben von: pluggulp 28.05.2009, 12:38

Ich habe keine Lust, meinen Rechner neu aufzusetzen. Gibts auch eine einfachere Lösung? Oder habt ihr vielleicht einfach keine richtige Ahnung?

Geschrieben von: Domino 28.05.2009, 12:39

Das hat nichts mit Lust zu tun, das ist eine Notwendigkeit, leider.



Domino

Geschrieben von: pluggulp 28.05.2009, 13:19

Aber es muss doch einen Grund geben, letzte Woche war noch alles in Ordnung (und die Jahre davor auch) und das System war dasselbe. Für den Tip alles neu zu installieren brauch ich nicht in so ein Forum zu gehen.

Geschrieben von: peks 28.05.2009, 13:31

Also wenn du ein veraltetes OS nutzt (nur SP1), dazu einen veralteteten Browser (IE6), deine Nameserver verstellt sind (und zwar nicht von dir!), dann frag ich mich was du eigentlich für eine Antwort willst.

Aber ok: Hey, super klasse System hast du, alles tuttipaletti, würd gerne mit dir tauschen!

Wenn dich das alles langweilt, dann mach doch weiter, aber jammer nicht rum. Bei deinem inaktuellen System ist es nur ne Frage der Zeit, wann da nix mehr geht.

Und zu deine letzte Antwort: Ich hab ein altes Auto das seit mehr als 10 Jahren immer fuhr, aber letzte Woche ging es kaputt. WIE KANN DAS NUR PASSIEREN??? ..na, klingelts..?

Geschrieben von: Voyager 28.05.2009, 14:32

@pluggulp

Sicher gibts einen einfachen Grund , deine Software ist ungepatcht und anfällig für sogut wie alles im Netz . Das du dich infizierst war nur eine Frage der Zeit.

Die Russischen DNS Einträge kommen auch nicht von ungefähr , das bedeutet du hast sicher noch mehr drauf was man so momentan nicht in dem Log erkennen kann, zb. Rootkits. Reparieren führt hier zu nichts weil du in 2 Wochen dann wieder infiziert bist.

Geschrieben von: Habakuck 28.05.2009, 18:03

@ pluggulp:

Bist du dir 100%tig sicher das du eine Bereinigung versuchen möchtest und ganz genau weisst welchem Risiko du dich damit aussetzt?
Selbst wenn der Rechner hinterher Augenscheinlich sauber erscheint ist er wahrscheinlich noch infiziert und deine Daten und deine Persönlichkeit liegen bloß.
Wenn du dich diesem Risiko aussetzen möchtest dann helfe ich dir den Rechner zusammen zu flicken.

Geschrieben von: pluggulp 28.05.2009, 22:09

Das einzige, was nicht in Ordnung ist, ist, daß die Links, die mir Google beim
Suchen liefert beim direkten Anklicken manchmal ins Nichts oder auf andere merkwürdige Seiten führen. Wenn ich die Links
aber mit copy und paste in die Adressleiste vom Browser packe und Enter drücke klappt es. Damit kann ich leben und werde
deswegen bestimmt nicht Stunden- oder Tagelang alles neu machen, zumal ich sowas auch noch nie gemacht habe.
Gibts keine Möglichkeit den Nameserver direkt in der Registry umzuändern? Ich habe doch einen Spybot, der bei Registyänderungen aufmerkt, meine Änderung lass ich dann zu, alles andere verweigere ich.

Geschrieben von: Lucky 28.05.2009, 22:43

Sorry aber wegen Leuten wie dir, gibts Malware ohne Ende im Internet.

Viel Spaß dann mit deinem System was im Hintergrund schon alles möglich von dir an Cracker geschickt hat,
angefangen von Bankdaten, über Spielecodes bis Dokumente.

Lucky

Geschrieben von: Domino 28.05.2009, 22:46

Spam nicht zu vergessen.



Domino

Geschrieben von: Habakuck 28.05.2009, 22:47

Pass auf: Dein Traffic wird über einen Server in der Ukraine umgeleitet. Damit sehen die alles was du tust und können dir alles mögliche unterschieben ohne das du davon etwas merkst. Es muss dir eifach klar sein, dass dein System bloß gestellt (kompromitiert) ist und damit auch nach einer Bereinigung nicht wieder vertrauenswürdig ist da kein Mensch ohne Prüfsumme sagen kann was alles verändert wurde.
Evtl. werden grade Kinderpornos über deinen Rechner vertrieben OHNE das du davon etwas mitbekommen würdest!! Dafür wanderst du dann nach einer Zeit in den Bau. Da hilft es hinterher nicht zu sagen: Aber ich wusste doch nicht.... Du bist für die Sicherheit deines Rechner verantwortlich.
Wenn du das Risiko eingehen möchtest im Bau zu landen, jede Menge Geld zu verlieren oder deine Privatssphäre zu verlieren dann können wir versuchen die Umleitung zu beenden.

Gehe dazu vor wie folgt:


Lasse http://virus-protect.org/artikel/tools/combofix.html laufen und poste das log.


Danach:

http://startdownload.filefront.com/9892936//4113388ce1a8ace173090807e8389948004e18e04426c0fc3f21ee5906e4eba676ff05c29938b16b// herunterladen und installieren.
Hake "Run fixit" an.
Klicke "Finish"
Folge den Anwiesungen. Neustart durchführen.
Poste bitten den Bericht: C:\fixwareout\report.txt

Geschrieben von: aido 28.05.2009, 22:52

Dein IE wird umgebogen lies das hier: http://www.trojaner-board.de/66529-warnung-vor-vlc-player-von-vlc-de-adware-und-mehr-2.html



Die Adressen führen nach Russland wenn es von dir also nicht gewollt ist, dann sind diese Einträge mit sicherheit in deiner hosts-Datei.

organisation: ORG-UL25-RIPE
org-name:
org-type: LIR
address:
Ukraine
phone:
fax-no:
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

HijackThis zu alt,
IE zu alt,
System zu alt.

System neu aufsetzen würde ich dringend anraten. Wenn du aber keine Lust hast.... naja bei den offenen Scheunentoren..... es ist deine Entscheidung.

Mein Rat: Mach dir diese Mühe, alle Patches aufspielen und eine vernüftige Backup-Strategie dann hast du in Zukunft ruhe.


EDIT: Aus rechtlichen Gründen Anschrift und Telefon gelöscht!

aido

Geschrieben von: Lucky 28.05.2009, 22:55

Mal sehen wann sich die ersten Kunden beschweren das von deiner IP Spam und Malware geschickt wird, kommt dann auf den ISP an. Die meisten sperren einen dann nämlich bei gehäuften Beschwerden.

Geschrieben von: Domino 28.05.2009, 23:00

@ pluggulp

Um es mal deutlich und freundlich zu sagen: Dieser Rechner muss zu deinem und zum Schutze der Allgemeinheit vom Netz genommen werden.
Ob das in deinem Fall schon "fahrlässig" ist oder nicht entscheidet im Zweifelsfalle ein Richter.

Ich fürchte, dir ist nicht wirklich klar in welcher Situation du dich befindest. Du solltest die ein oder andere Antwort die du bekommen hast etwas ernster nehmen.

Ich bin sehr erstaunt über deine Sorglosigkeit.



Domino

Geschrieben von: diddsen 28.05.2009, 23:06

sorry, aber sag mal was erwartest du eigentlich? ... am besten gehst zum mediamarkt (oder wo auch immer dein pc gekauft hast)
wirklich unglaublich erschreckend wie .... manche sind

aber um meinen guten willen auch "solchen" gegenüber zu zeigen... hatte einen ähnlichen fall, mit superantispyware und kav hab ichs wegbekommen.

Geschrieben von: diddsen 28.05.2009, 23:14

also wer hier KEINE ahnung hat ....

EDIT: den rest hab ich geändert, auf wunsch von domino, obgleich auch ungerne

Geschrieben von: Domino 28.05.2009, 23:30

Ich danke dir.



Domino