troyaner

bin heute morgen im Internet gewesen,und nachdem ich mich in eine HP verewigt habe mit smilys ging nichts mehr.Habe daraufhin antivir durchlaufen lassen,der mir in kürzester zeit einen troyaner meldete.
leider habe ich ihn mir nicht genau gemerkt,sondern datei gelöscht.
dann bin ich in die systemwiederherstellng gegangen,und habe ihn zurückgesetzt.
erst ging auch nichts,und plötzlich konnte ich wieder ins netz.habe update von virgemacht,und nochmals durchlaufen lassen.er findet nichts.spybot meckert aber etwas an.weiss aber nicht weiter.wie komme ich jetzt daran?oder wie stelle ich fest ob das pferd weg ist?
soviel nur,etwas mit FunWeb.A stand in der Info.

 

Was ging denn nicht mehr?

Wen? Wie?

Was genau?

An was?

Erstelle mit HijackThis nach dieser Anleitung http://hjt.klaffke.de/ ein Log und poste es hier.


Noch was: Welches Betriebssystem hast du überhaupt?

 

zu1:ich kam nicht ins Internet


zu2:ich habe XP,und bin in der Systemwiederherstellung einige Tage an einem anderen Prüfpunkt gegangen.


zu 3:zb AlexaRelated(?) und DSO Exploit(?)



zu4:wie kann ich das nun löschen was spybot anmeckert,oder besser wie kann ich herausfinden was es ist.(ich kenne mich da nicht aus;bin neuling in PC-sachen)

Betriebssystem ist Windows XP,der Browser ist IE und firefox



kann ich das von deinem link auch neben antivir laufen lassen?

 

Die beiden findet Spybot immer beim ersten Lauf, das ist normal (gehört zu Windows und ist rel. harmlos).

Nach einem Scan auf "Markierte Probleme beheben" klicken, dann sollte das weg sein.

Du hast allerdings geschrieben zb. Findet Spybot denn noch was anderes?

Ja, geht. Nur der IE sollte geschlossen sein wenn HijackThis läuft.
Das ist übrigens kein Virenscanner, sondern eher ein Systeminfo-Tool. Deshalb solltest du das Ergebnis (Log) hier posten.
Also Log abspeichern und den Inhalt hier mit Copy&Paste einfügen.
Auf keinen Fall alles was es findet markieren und löschen, wie gesagt, es ist kein Virenscanner.

 

was bringt das mit dem hijackthis?der findet meine ganzen programme wie ich das sehe

was siehst du daran?

 

Es zeigt an welche Prozesse im Moment laufen.
Ebenso zeigt es sämtliche Autostart-Einträge sowie einige IE-Einstellungen.

Mithilfe von Suchmaschinen und ein bisschen Erfahrung kann man herausfinden ob sich unter den Einträgen Schädlinge befinden (Viren, Würmer, Trojaner, Spyware).

Hat man so einen Eintrag gefunden kann man in die Box davor einen Haken setzen und "fix checked" anklicken. Dadurch wird er entfernt.

 

Logfile of HijackThis v1.98.2
Scan saved at 21:36:04, on 28.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\AVPersonal\AVGUARD.EXE
C:\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\AVPersonal\AVGNT.EXE
C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\PRISMSTA.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Winamp\Winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Nicole.COMPUTERNAME\Lokale Einstellungen\Temp\HijackThis.exe
C:\Dokumente und Einstellungen\Nicole.COMPUTERNAME\Desktop\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WiseFTP] C:\Programme\AceBIT\WISE-FTP\WF_Scheduler.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O15 - Trusted Zone: http://www.ebay.com
O15 - Trusted Zone: http://cgi5.ebay.de
O15 - Trusted Zone: http://my.ebay.de
O15 - Trusted Zone: http://www.ebay.de
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup145.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_16_0.cab

 

hab jetzt auch seit gesten eine firewall ,kennst du eine datei ntoskrnl.exe?
Irgendwie soetwas will senden(NT Kernel und system)

 

Wenn die ntoskrnl.exe im Ordner C:\WINDOWS\System32 liegt dann handelt es sich um einen Teil von Windows.

Wo will die denn hin (welche IP)? Etwa nach 127.0.0.1?

 

weiss ich nicht,steht nur,das sie blockiert ist.
wieso,was ist das für ne IP?
etwa microsoft?

 

meiner Firewallin etwa zitiert)

Für eine Applikation mit dem Namen NTkernel und System Dateiname ntoskrln.exe ist der Zugang blockiert

 

Ne, das ist dein eigener PC (Die IP für lokale Zugriffe, nicht deine IP im Internet). Wäre also ganz normal wenn die ntoskrnl.exe darauf zugriefen wollte.

Aber auch ins Internet würd ich die lassen, wie gesagt, ist Teil von Windows.

 

wie,die 172. oder 127. ist mein PC?

was ist den nun mit meinem hijackthis -posting??
Ich versteh den "Kram" da ja nicht.

schon was in Sicht?



(der grimmige smily hat suích über die tasten eingeschlichen,sorry)
mein gesicht sieht eher so aus:-D

 

Die IP die dein PC im Netz hat wird ja vom Provider vergeben, es sei denn du hängst an nem Router, dann ist die IP meistens fest.


127.0.0.1 ist die IP die für Zugriffe des PCs auf sich selbst reserviert ist. Manche Software-Firewall zeigt auch diese (harmlosen) Zugriffe an und blockt sie, was totaler Blödsinn ist. Deshalb hatte ich gefragt, wohin die ntoskrnl.exe verbinden will.

Mal ne Zwischenfrage, hängt dein PC an nem Router? Dann kannst du dir die Software-Firewall nämlich schenken.

Etwas Geduld noch. Es sind schon ein paar Einträge durch die ich mich kämpfen muss.
Geh ich recht in der Annahme dass du ne ATI-Grafikkarte, eine WLAN-Karte, eine HP-Webcam und einen Cardreader hast?

 

PC schwebt kabellos am router

 

Dann kannst du die Software-Firewall gefahrlos deinstalliern.


Hab jetzt das Log durch, scheint soweit sauber.

Wenn du das alles mit Ja beantworten kannst dann sind momentan keine Schädlinge auf deinem PC aktiv.

 

grafikkarte ja(ati? keine ahnung)


sagen wirs mal so,habe den aldiPC mit W-lan vom nov.03,und ne HPkamera hab ich auch.
wieso bringt mir die firewall nichts?

 

Gut, dann erkäre ich deinen PC für schädlingsfrei :hoch:

1. Ist dein PC gegen die meisten Angriffsformen durch den Router geschützt.

2. Bieten Software-Firewalls allenfalls die Illusion von Sicherheit.
Siehe dazu:

http://home.arcor.de/nhb/pf-austricksen.html
http://home.t-online.de/home/TschiTschi/desktop_firewalls.htm
http://www.uni-muenster.de/ZIV/Hinweise/DesktopFirewall.html


Sinnvoller als der Einsatz einer Software-Firewall ist, alle nicht benötigten Ports zu schließen. Dazu beendet man die Dienste, die man nicht braucht.

http://www.ntsvcfg.de/ ist hier die richtige Adresse. Dort kannst du dir die Datei svc2kxp.cmd runterladen. Mit der kannst du dein System absichern.

 

Hallo superblond

Weil der Router bereits wie eine Firewall wirkt.

Gruß
Nevok

 

tu ich sowieso.
BSP. Bank,ich schließe dieses fenster bevor ich im net surfe.
Passwörter und ähnliche wichtige daten speichere ich nie,cookies,dateien und verlauf lösche ich regelmäßig in gewissen abständen.

Ich danke dir auf jeden fall,und würde sagen,ich bin mit dem "schrecken" davon gekommen