Neuer Virus ???

Dieses Thema im Forum "Sicherheit" wurde erstellt von Frustbaer, 11. Januar 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Ich habe seit heute 08.01.2004 ein Problem was auf meinem Rechner auftritt.
    Ich nutze Windows2000 und habe fürs InterNet DSL Netzwerk.
    Wenn ich bisher ins InterNet gegangen bin, habe ich vorher meine Festplatten auf " nicht freigeben " gesetzt, indem ich z.b. den Arbeitsplatz geöffnet habe, mit der rechten Maustaste auf die Festplatte ( C oder D ) geklickt habe, worauf direkt das Menü zum u.a. Freigabe der Platte aufging.

    Seit heute passiert aber nach jedem Neustart egal oder Abmelden oder Neustart folgendes:

    Ich klicke mit der rechten Maustaste auf das Laufwerk, im Arbeitsplatz und es erscheint die Meldung:
    " Es konnte keine Verbindung hergestellt werden. Prüfen Sie Ihre Einstellungen..." blabla ect. mit den Schaltflächen " Offline arbeiten " und " Wiederholen ".

    Egal was ich aussuche, danach kommt das alte Auswahlmenü wo ich z.b. wieder die Freigabe machen kann...

    Es wäre mir nicht so komisch vorgekommen, wenn nicht eben ein Freund von mir anrief und mir das gleiche Problem geschildert hätte.

    Im Taskmanager werden auch nicht mehr laufende Prozesse angezeigt aber zeitweise ist der Rechner langsamer...

    P.s. Norton Antivirus, Ad-ware und Spy&Destroy & Yaw ( alle frisch upgedatet ) finden nichts....

    Hat jemand von Euch evt eine Idee? Rückantwort würde mich freuen....
     
  2. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Wenn jemand zu dieser Log Datei noch etwas schlechtes auffällt, wäre ich über eine Rückinfo dankbar...

    gruss micha
     
  3. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Hier ist die Log Datei von HiJackThis

    was gehört davon noch weg? oder was könnte zu dem am Anfang des Threats aufegführten Problem führen?

    Logfile of HijackThis v1.97.7
    Scan saved at 21:08:03, on 12.01.2004
    Platform: Windows 2000 SP2 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\winnt\System32\smss.exe
    C:\winnt\system32\winlogon.exe
    C:\winnt\system32\services.exe
    C:\winnt\system32\lsass.exe
    C:\winnt\system32\svchost.exe
    C:\winnt\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINNT\System32\CTsvcCDA.EXE
    C:\WINNT\System32\svchost.exe
    C:\Programme\Atguard\iamserv.exe
    C:\Programme\Norton AntiVirus\navapsvc.exe
    C:\winnt\System32\nvsvc32.exe
    C:\winnt\system32\regsvc.exe
    C:\winnt\system32\MSTask.exe
    C:\winnt\System32\tcpsvcs.exe
    C:\winnt\System32\snmp.exe
    C:\winnt\system32\stisvc.exe
    C:\winnt\System32\WBEM\WinMgmt.exe
    C:\WINNT\System32\MsPMSPSv.exe
    C:\winnt\Explorer.EXE
    C:\winnt\System32\devldr32.exe
    C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    C:\PROGRA~1\Atguard\iamapp.exe
    C:\winnt\loadqm.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    C:\winnt\System32\USBMonit.exe
    C:\winnt\System32\rundll32.exe
    C:\Programme\Microsoft Office\Office\1031\msoffice.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Catbytes Software\RAM Defrag\RAM_Defrag.exe
    D:\INetProgs\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:///
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pc-welt.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http:///
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\winnt\system32\msdxm.ocx
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
    O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
    O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
    O4 - HKLM\..\Run: [LoadQM] loadqm.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\winnt\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\winnt\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Ad-aware] C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe +c
    O4 - HKLM\..\Run: [Gene USB Monitor] C:\winnt\System32\USBMonit.exe
    O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
    O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O9 - Extra button: Real.com (HKLM)
    O12 - Plugin for .mdz: C:\Programme\Internet Explorer\Plugins\npmod32.dll
    O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
    O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{D4DC24F2-A9F0-4446-9731-64C98BDC7E18}: NameServer = 217.5.99.9 194.25.2.129
     
  4. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    ich muss noch dazu sagen, die zeropopup sache wird nicht Ad-ware als bedenklich eingestuft... oder sonst irgendwie aufgeführt
     
  5. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Ist ja gut mit dem Nachbearbeiten hab ich ja nur den Eintrag mit der Log Datei, alles andere sind ja neue Antworten.

    Eine Idee, wie und wo ich diese Zeropopup Geschichte finde, um sie zu entfernen?

    Das System neu zu formatieren, versuche ich massiv zu vermeiden, da bei jeder Neuinstallation mein Brenner verrückt spielt und ständig offen stehen bleibt. Auch mit aktuellen Treibern...

    Hab dafür dann den Rechner zum Service gegeben, die konnten das Problem zwar beheben, aber nicht erklären worauf es zurück zu führen ist. Und das Geld für nen neuen Brenner ist halt mau...

    Daher versuche ich das System am Leben zu erhalten. Auch mit Image Programmen wie PQDI kann ich irgendwie nichts anfangen, da immer nur ein Teil der Treiber ect. kopiert werden, und wenn ich ein Image zurückhole, ständig Treiber fehlen oder Geräte garnicht konfiguriert sind, obwohl zum Zeitpunkt des Images alles ok war...
     
  6. Gast

    Gast Guest

    Lass doch bitte dieses nachträgliche Editieren deiner Beiträge. Wenn du was Neues hast, dann poste das als normale Antwort, die als solche auch neu im Thread angezeigt wird.
    Der Kram mit zeropopup.com ist natürlich hochgradig verdächtig. Ansonsten sollte dir mittlerweile klar geworden sein, was du zu tun hast.
     
  7. Gast

    Gast Guest

    Nichts von dem, was in deinem Log stand, verrät mir, ob du heimlich ****os guckst, illegal saugst, rosa Unterhosen trägst oder Keuchhusten hast. Werd mal nicht paranoid.

    Ob die Dateien, die mittels der gefixten Registryeinträge gestartet wurden, noch existieren, kannst du ja mit einem simplen Blick in den Windowsexplorer nachprüfen. Sollten sie noch da sein, lösche sie manuell. Sollte Windows sich weigern, sind sie oder zumindest eine davon noch als Hintergrundprozess aktiv. Dann muss zunächst dieser im Taskmanager oder mit einem Prozesskiller beendet werden.

    Grundsätzliches zum Thema hab ich gerade mal hier zusammengefasst:
    www.eisenheim.cc/tipps2/hjt.html
     
  8. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Nachdem ich jetzt wie oben beschrieben, die Einträge "gefixt" habe, und einen Neustart des Rechners gemacht habe, tritt das Problem weiterhin auf. Bei Neustart, Arbeitsplatz, rechts Klick auf C: " Es konnte keine Verbindung hergestellt werden, bitte überprüfen sie..... Offline arbeiten oder wiederholen"
    Wenn ich Offline anklicke und den Internet Explorer starte, befindet sich dieser allerdings auch im Offline Modus...

    Bei dem Durchlauf von Ad-ware ist mir ein Eintrag aufgefallen, ich weiss nicht ob es etwas tragisches ist:

    Software\Microsoft\Internet Explorer\zeropopup.com

    da Ad-ware ja super schnell durchläuft, war es nur Zufall das ich den Eintrag gesehen habe. Ich habe auch überall, wo mir bekannt ist nach diesem Eintrag gesucht, konnte ihn aber nicht finden um diesen zu löschen...

    vielleicht sagt das etwas mehr aus, freue mich über Hilfe...

    lg micha
     
  9. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Habe bis auf das erste Systemprog alle Sachen markiert und "FixChecked" gedrückt. Hat das Prog die jetzt entfernt und in eine Backupdatei umgewandelt oder muss ich da noch mehr tun?

    Habe den Log Eintrag rausgenommen, muss ja nich die ganze Zeit online steh?n, was bei mir so alles los ist oder? :confused:

    gruss micha
     
  10. Gast

    Gast Guest

    C:\winnt\System32\snmp.exe

    Ist zwar ein Systemprogramm, seh ich aber äußerst selten in Logfiles. Auf einer Skala von 0 (okay) bis 10 (kreisch) rangiert das für mich etwa bei 5.

    F2 - REG:system.ini: UserInit=C:\winnt\System32\userinit.exe,C:\winnt\System32\svcpack.exe

    Oh Oh...CoolWebSearch Hijacker! WEG!

    O1 - Hosts: 213.159.117.51 clicktraq.mtree.com
    O1 - Hosts: 213.159.117.51 download.globaldialer.net
    O1 - Hosts: 213.159.117.51 dyntraq.mtree.com
    O1 - Hosts: 213.159.117.51 network.nocreditcard.com
    O1 - Hosts: 213.159.117.51 network.nocreditcard.net

    Deutet auf eine manipulierte Datei HOSTS hin. Unbedingt fixen!

    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A

    Extrem verdächtig! Besser entfernen...

    Nachtrag:
    Da hab ich ja gerade zur rechten Zeit geguckt, bevor das Log wieder gelöscht wurde. Hatte das irgend einen tieferen Sinn?
     
  11. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Steele ist doch online oder?
    Kann auf Anfrage den Inhalt der Log wieder rein setzen...
     
  12. Gast

    Gast Guest

    Na prima!

    Nur genauer ansehen kann man sich das wohl erst morgen, ist schon spät. Vielleicht ist dann auch Steele, der Spezialist für sowas, online.
     
  13. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Hoffe es hat jemand eine Idee, dei dem Inhalt dieser Log Datei gehabt...
     
  14. Gast

    Gast Guest

    Hallo,

    drücke den Button "save log" und du kannst das Ergebnis kopieren und einfügen.
     
  15. Frustbaer

    Frustbaer Byte

    Registriert seit:
    29. Juli 2002
    Beiträge:
    52
    Habe mir HiJackThis geladen, habs durchlaufen lassen, kann aber das Ergebnis nicht als Text markieren, wie kann ichs ohne Homepage posten ( wo ich ein Bild ablegen könnte ) ?

    gruss micha
     
  16. trudenbiker

    trudenbiker Kbyte

    Registriert seit:
    14. Oktober 2003
    Beiträge:
    291
    Lade dir mal das Tool HiJackThis und poste mal das Ergebnis
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen