Rechner will selbständig ins Internet |
||
---|---|---|
#0
| ||
26.09.2004, 13:08
...neu hier
Beiträge: 2 |
||
|
||
26.09.2004, 13:12
Member
Beiträge: 48 |
||
|
||
26.09.2004, 18:04
...neu hier
Themenstarter Beiträge: 2 |
#3
Lieber aelfric
Danke, dass Du dir das anschaust. LG Julius Logfile of HijackThis v1.98.2 Scan saved at 18:03:18, on 26.09.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\datenbank\mysql\bin\mysqld-nt.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\D-Tools\daemon.exe C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\vpc32.exe C:\Programme\Olympus\DeviceDetector\DevDtct2.exe C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\Programme\WinTV\Ir.exe C:\datenbank\mysql\bin\winmysqladmin.exe C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Julius & Jana\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O4 - Startup: WinMySQLadmin.lnk = C:\datenbank\mysql\bin\winmysqladmin.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) - O17 - HKLM\System\CCS\Services\Tcpip\..\{ABC1F093-FEF1-4261-82F4-856506BE59F6}: NameServer = 195.70.224.45 213.90.38.3 |
|
|
||
26.09.2004, 22:11
Member
Beiträge: 48 |
#4
Zunächst mal ist dein Syetem gar nicht gepatched, es ist notwendig, regelmäßig (möglichst wöchentlich) alle Updates für XP und den IE aufzuspielen): www.windowsupdates.com
Der Übeltäter in deinem Fall dürfte dieser sein: C:\WINDOWS\System32\vpc32.exe http://it.trendmicro-europe.com/consumer/security_info/ve_detail.php?Vname=WORM_AGOBOT.XM er nutzt unter anderem auch Schwachstellen aus, die längst gefixed sind, es sei denn, die entsprechenden Patches sind eben nicht drauf (siehe oben). Da es ein Programm mit Bakdoorfunktionen ist, wäre das Sicherste eine Neuinstallation des Systems: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren (http://www.microsoft.com/germany/ms/security/windowsxp.mspx) 4.) Ebenfalls VOR dem Onlinegang unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen (dies wöchentlich wiederholen) und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 7.) Browser und Emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail)sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und war*hier nicht!*-Seiten geboten 9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 11) keine alten Passworte wiederverwenden, sondern alle neu anlegen Wenn du das nicht kannst/willst, entpacke Hijackthis zunächst in ein eigenes Verzeichnis und starte es von da. E-Scan herunterladen und updaten: http://www.trojaner-info.de/hijacker/escan.shtml Systemwiederherstellung deaktivieren: http://www.bsi.de/av/texte/wiederher_xp.htm Beende über den Taskmanager: C:\WINDOWS\System32\vpc32.exe C:\Programme\WinTV\Ir.exe Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\WINDOWS\System32\vpc32.exe C:\Programme\WinTV\Ir.exe O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe 04 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe Boote in den abgesicherten Modus: http://www.bsi.bund.de/av/texte/winsave.htm lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. Wie gesagt, die optimale Lösung wäre das Abarbeiten der obigen Punkte. |
|
|
||
Nachdem ich letzte Woche nach dem Abfragen ein Haufen von Werbe- und Spammails bekommen hatte, will mein Rechner nach dem trennen der I-Verbindung wieder ins Netz. Er beginnt die Verbindung automatisch herzustellen und wenn ich auf „Abbrechen“ klicke, beginnt er es wieder in 5 bis 10 sec Intervallen. Wenn ich dann schnell den Rechner Neustarte, dann ist wieder Ruche, bis ich selbst ins Netz komme. Nach dem trennen beginnt wieder das gleiche, dabei muss ich gar nicht ins Outlook oder Explorer einsteigen. Es reicht, wenn ich alleine die Verbindung hergestellt habe. Norton und McAfee haben nichts gefunden. Alle Internetinhalte habe ich inzwischen gelöscht. Gleich nachdem die Verbindung kann ich erkennen, dass mein Rechner mit jemanden „kommuniziert“. Das komische ist auch, wenn ich in mein Gästebuchforum einsteigen will, fragt er 2 Mal nach meinen Zugriffskodes. Meine Vermutung ist, dass das zweite Mal jemand an „der anderen Leitung“ meine Daten liest. Deswegen steige seit einigen Tagen nirgendwo mehr ein, wo ich meine Daten eintippen muss.
Kann mir bitte jemand von Euch helfen? Oder auf ein Thema hinweisen, die schon früher dieses Problem behandelt hat? Damals bei FxSasser Virus habe ich hier großartige Hilfe gefunden.
LG Julius