Spyware installiert sich wieder trotz Entfernung

#0
27.07.2004, 16:32
...neu hier

Beiträge: 8
#1 Hallo,

könnt Ihr Euch bitte meinen Log anschauen? Ich habe schon bei der HijackThis Selbstauswerteseite geschaut und dort auch alles entfernt, beim nächsten Durchlauf mit HijackThis ist aber alles wieder da.

Schon mal herzlichen Dank im Voraus...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\windowssvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\snlogsvc.exe
C:\WINDOWS\System32\Winregkk32.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bozo\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O13 - DefaultPrefix: http://195.225.176.5/pre.pl?
O13 - WWW Prefix: http://195.225.176.5/pre.pl?
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14AEE59-9E03-4B66-8BD4-11178A9AA88C}: NameServer = 195.129.111.50 195.129.111.49
Seitenanfang Seitenende
27.07.2004, 17:13
Member

Beiträge: 441
#2 @ Bozerl

Der Browser HiJacker den du dir installiert hast, dürfte dein kleinstes Problem bei deinen kompromittierten Rechner sein. Auf deinen Rechner ist mindestens Backdoor.Rbot.gen aktiv, d.h. dein System ist nicht mehr vertrauenswürdig und sollte neuaufgesetzt werden.
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

System neuaufsetzen:
1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken

Das sind die Übeltäter:
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe => Backdoor.Rbot.gen
O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe

Schicke mir bitte diese zwei Dateien gezippt an cidre_troja@yahoo.de :
C:\WINDOWS\System32\snlogsvc.exe
C:\WINDOWS\System32\Winregkk32.exe
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 27.07.2004 um 17:15 Uhr von Cidre editiert.
Seitenanfang Seitenende
27.07.2004, 17:17
Moderator

Beiträge: 7805
#3 Bitte im abgesicherten Modus dieses fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O13 - DefaultPrefix: http://195.225.176.5/pre.pl?
O13 - WWW Prefix: http://195.225.176.5/pre.pl?

dann bitte neu starten. Ist dein Antivir aktuell? Wenn ja, schicke bitte folgende Dateien an virus@protecus.de und loesche sie dann:

C:\WINDOWS\monitor.exe
C:\WINDOWS\System32\windowssvc.exe
C:\WINDOWS\System32\Winregkk32.exe
C:\WINDOWS\System32\snlogsvc.exe

Bitte aktiviere die Windowsxp Firewall und nutze regelmaessig www.windowsupdate.com !
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.07.2004, 17:39
...neu hier

Themenstarter

Beiträge: 8
#4 Hallo raman, hallo Cidre,

vielen Dank für Eure Hilfe, werde mich nun bemühen alles umzusetzen! Ja, mein Antivir ist frisch aktualisiert. Würde Euch gerne die Dateien schicken, leider finde ich sie trotz intensivster Suche nicht...

@ Cidre:
Windows ist frisch upgedatet...
Seitenanfang Seitenende
27.07.2004, 17:49
Moderator

Beiträge: 7805
#5 Du musst im Explorer unter extras/ordneroptionen/ansicht "geschuetzte Systemdateien ausblenden" abhaken und bei "versteckte Dateien und Ordner" "alle Dateien und Ordner anzeigen" anhaken.

Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.07.2004, 18:02
Member

Beiträge: 441
#6 @ Bozerl

Zitat

Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen.
Full Ack.

Zur Info über einen Backdoor Trojaner:

Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die der Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen, inklusive Programmmanipulationen.
(Quelle: http://www.symantec.de)
Ein legaler Zweck einer Hintertür ist es, einen Wartungszugang zu einem Programm bereitzustellen.

Weitere Infos dazu:
http://www.wiwi.uni-tuebingen.de/grund01/Kapitel%204/4.1%20Aktuelle%20Problembereiche%20und%20Loesungsansaetze.htm
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
27.07.2004, 18:28
...neu hier

Themenstarter

Beiträge: 8
#7 Hallo Ihr Beiden,

scheint alles wunderbar zu funktionieren, hoffe, das bleibt auch eine Weile. Eure Viren habe ich rübergeschickt ;o))

Vielen herzlichen Dank für Eure Hilfe
Josef
Seitenanfang Seitenende
27.07.2004, 20:35
Member

Beiträge: 441
#8 @ Bozerl

Könntest du mir die Dateien nochmal schicken, falls du sie noch hast, hab leider keine erhalten.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: