Großes Problem - Weiß echt nicht mehr weiter. :-( |
||
---|---|---|
#0
| ||
01.08.2004, 00:20
...neu hier
Beiträge: 4 |
||
|
||
01.08.2004, 01:13
Member
Beiträge: 441 |
#2
Hallo,
Zitat noch einmal Format C wird'S auch nicht wirklich bringen ... da er ja "eigentlich" komplett sauber ist.Von sauber kann hier leider keine Rede sein. Ich würde dir ein Neuaufsetzen deines Systems empfehlen, da dein System nicht mehr vertrauenswürdig ist. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html http://oschad.de/wiki/index.php/Kompromittierung Du hast einen aktiven TrojanDownloader.Win32.Small.qi: O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe Info: http://www.sophos.de/virusinfo/analyses/trojsmallqi.html C:\java.exe => deutet auf W32/Mydoom.o@MM hin Info: http://www.bsi.de/av/vb/mydoom-m.htm Bitte überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis: C:\WINDOWS\System32\muamgrd.exe C:\WINDOWS\System32\pqfqve.exe C:\WINDOWS\System32\win32.exe C:\java.exe C:\WINDOWS\System32\adymz.exe Nach dem Neuaufsetzen und vor der ersten Internet Verbindung diese Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. Deine Passwörter ändern 6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox 7. Image deiner Systempartition erstellen 8. Surfverhalten überdenken __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
01.08.2004, 14:34
...neu hier
Themenstarter Beiträge: 4 |
#3
Überprüfung der Dateien >
C:\WINDOWS\System32\muamgrd.exe Ergebnis: muamgrd.exe - packed with PECompact muamgrd.exe Infiziert: Backdoor.Rbot.gen C:\WINDOWS\System32\pqfqve.exe Ergebnis: pqfqve.exe - packed with Morphine pqfqve.exe - packed with UPX pqfqve.exe Infiziert: Backdoor.Rbot.gen C:\WINDOWS\System32\win32.exe Ergebnis: win32.exe - packed with FSG win32.exe Infiziert: Backdoor.Rbot.gen C:\java.exe Ergebnis: java.exe Infiziert: TrojanDownloader.Win32.Small.qd C:\WINDOWS\System32\adymz.exe Ergebnis: adymz.exe - packed with PE_Patch adymz.exe - packed with UPX adymz.exe Infiziert: Worm.Win32.Padobot.gen Oh Oh Oh ... :-( |
|
|
also, ich hab' folgendes Problem. Ich hab' seit kurzem "Format C:" hinter mir, da ich mir 'ne neue Windows - Version gekauft habe. Naja, ist ja auch egal.
Auf jeden Fall, ist nun folgendes:
Jedes mal, wenn ich den PC neustarte, ist er zum 1. ziemlich langsam, d.h. ich starte z.B. WinAmp Player, daraufhin, brauch mein PC ca. 30 - 50 Sekunden um den WinAmp - Player zu starten. Was vor dem Format C nicht so war.
Dann kommt hinzu, das ich jedes mal, wenn ich mich in's Internet einwähle, eine "Java.Exe" als Prozess laufen habe, obwohl ich nicht denke, das ich sie brauche, denn wenn ich sie unter "C:" dort ist sie nämlich dauernd lösche, passiert nichts. Jetzt kommt dazu, das meine Internet - Geschwindigkeit "trotz" ISDN sehr langsam gewurden ist. Ich meine damit, das selbst ein 56K Modem schneller ist.
Ich weiß leider nicht, woran es liegt, denn vor dem Format C hat auch alles geklappt & meine Internet - Geschwindigkeit war auch in Orndung.
Was noch viel schlimmer ist, viele Internet - Seiten muss ich mehrmals Aktualisieren um mit ihnen arbeiten zu können.
Zum Beispiel, auf "Google.de" muss ich ca. 3 - 5X Aktualisieren & die Suchfunktion nutzen zu können. Das ist auf vielen Internet - Seiten so. Dann wenn es dann mal klappt, kann es sein, das nach kurzer Zeit es so scheint, als wäre die Internet - Seite tot. Denn man kann wieder nicht mit ihr arbeiten. Es passiert auch oft, das egal, welche Seite ich aufrufe, sei' es "Web.De" oder "Google.De" er mir sagt "Server nicht gefunden"
Noch ein Problem: Ab & zu baut sich eine Internet - Seite auf "http://ginstall.corpsument.net/" - Ich hab' keine Ahnung was sie macht, aber ich denke, sie versucht etwas zu installieren, was ich von dem "ginstall" lese. Ich versuche immer, sofern ich es gerad' mitbekomme, abzubrechen.
> Hab' gerad' was gesehen ... in der "Java.Exe" ist die URL "http://ginstall.corpsument.net/" erhalten. Also im Quellcode von der "Java.Exe" =(
Ich brauch unbedingt Hilfe - Ich bin schon am verzweifeln ... noch einmal Format C wird'S auch nicht wirklich bringen ... da er ja "eigentlich" komplett sauber ist.
Vielen Dank, für eure Bemühungen.
MfG
Christian. Hier "HijackThis - Log"
Hier mein Log von "HijackThis" ... sieht komisch aus ... find' ich. Naja.
Logfile of HijackThis v1.98.0
Scan saved at 00:35:16, on 01.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\System32\muamgrd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\System32\pqfqve.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\svchost2.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\WINDOWS\System32\win32.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\WINDOWS\System32\winupdt.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\java.exe
C:\Dokumente und Einstellungen\Christian\Desktop\HiJackThis_Last.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t11729.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.de/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = *** CHRIS ***
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\adymz.exe
O4 - HKLM\..\Run: [Microsoft IT Update] win32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKLM\..\RunServices: [Microsoft Service Host] svchost2.exe
O4 - HKLM\..\RunServices: [Microsoft IT Update] win32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] muamgrd.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Java Windows Update] pqfqve.exe
O4 - HKCU\..\Run: [Microsoft Service Host] svchost2.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Microsoft IT Update] win32.exe
O4 - HKCU\..\Run: [Microsoft Update] muamgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://J:\Content\include\msSecUcd.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4C136D90-2767-4B19-8A47-9D62284A3BCF}: NameServer = 212.6.108.140 212.6.108.141