Meinen Rechner hat es wieder erwischt!

#1 Hallo,
Mein Notebook hat es wieder erwischt, es hat sich wieder massive Spyware festgehangen. Was daraus besteht aus andere Webseite und diverse Popups die sich öffnen wenn ich den Browser starte. Ich hab auch gleich mal eine Logfile von HiJackThis erstellt. Das ihr mir sagen könnt wie ich alles am besten entferne und was gefährlich ist.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 00:47:39, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
D:\Programme\Internet\Popup Ad Filter\PopFilter.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://realsearch.cc/?a=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://realsearch.cc/?a=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: CDownCom Class - {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - C:\WINDOWS\DOWNLO~1\ipreg32.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Office\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Sicherheit\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Pop Class - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\winsx.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Office\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Office\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internet\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows ServeAd] C:\Program Files\Windows ServeAd\WinServAd.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [xef] C:\WINDOWS\xef.exe
O4 - HKCU\..\Run: [Popup Ad Filter] d:\Programme\Internet\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\idwxploz.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Allow Popups - d:\Programme\Internet\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {00000EF1-0786-4633-87C6-1AA7A44296DA} - http://www.addictivetechnologies.net/DM0/cab/48odhr0b.cab
O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://d:\foo.mht!http://008i.com/pic//28129.chm::/open.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20041208/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

Zitat

Vielen Dank schonmal für eure Hilfe!

TommyXP

#2 Hallo Tommy,

Zitat

Hallo,
Mein Notebook hat es wieder erwischt, es hat sich wieder massive Spyware festgehangen. Was daraus besteht aus andere Webseite und diverse Popups die sich öffnen wenn ich den Browser starte. Ich hab auch gleich mal eine Logfile von HiJackThis erstellt. Das ihr mir sagen könnt wie ich alles am besten entferne und was gefährlich ist.

Will doch besagen, dass Du schon des öfteren Dir Malware eingefangen hast und offenbar nichts daraus gelernt hast, weil es ja die netten Heinzelmännchen von den Sicherheits-Foren gibt, ja?
Aber mal im Ernst, Du solltest Dir wirklich einmal überlegen, wie Du Deinen Rechner besser schützen kannst und welche Internetseiten Du ansurfst.

Zu Deinem Log: eine satte Mischung aus Ad- und Spyware und mindestens ein aktiver Backdoor-Trojaner auf Deinem System legen eigentlich nur eine Massnahme nahe => Format C: => Windows neu aufspielen. Dabei kannst Du gleich SP2 installieren, und ändere alle Deine Passwörter.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 Also ich muss dir ehrlich sagen ich hab echt keinen Bock jetzt noch mal das ganze System neu draufzuhauen. Lieber mach ich mir 1 - 2 Stunden Arbeit und probier den ganz Mist runterzuhauen als jetzt das System neu draufzusetzen und alle Passwörter zu ändern.

Außerdem huppe ich nicht auf irgendwelchen Crac*hier nicht!* herum, durch diese blöde Google Treffer die öfters zu Dialerseiten führen haut sich der Mist immer wieder drauf.

Bitte um Lösung des Problemes!

#4

Zitat

Bitte um Lösung des Problemes!

Man verwendet ganz einfach keinen Browser, welcher mit unsicheren Technologien ausgestattet ist, welche massenhaft für Malware auf Rechnern verantwortlich ist. Im Klartext: Keinen InternetExplorer mehr verwenden.
Es gibt einfach keinen haltbaren Grund mehr, wieso der Einsatz dieses Browsers "unverzichtbar" wäre oder dergleichen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Und es gibt leider keine 'Lösung für dein Problem'.

Alles andere als dir zu format c: zu raten, wäre grob fahrlässig von unserer Seite aus. Schätze hier will niemand verantworten, wenn mit deiner Maschine dDoS-Attacken gefahren werden, oder dir dein Geld über dein e-Banking geklaut wird.

Dein System ist ganz einfach kompromittiert, heißt es ist nicht mehr vertrauenswürdig und du hast keine Kontrolle mehr darüber. Google und wikipedia liefern Informationen dazu.

http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
http://de.wikipedia.org/wiki/Kompromittierung
http://de.wikipedia.org/wiki/Backdoor

Infos und eine Anleitung zum sicheren Neuaufsetzen deines Systems:
http://board.protecus.de/t16317.htm
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#6 Hi Joschi und Malkesh,

danke für die Schützenhilfe!
Aber, ein totes Schaf treibt selbst der beste Hirtenhund nicht mehr zur Herde zurück!

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#7 an welchen dateien will man erkennen das sich auf dem system ein backdoor trojaner befindet?

#8 http://www.f-secure.de/v-desk/damrai.shtml
beispielsweise
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#9 Man "will" nicht nur, sondern man "kann" auch! Und vielleicht geht's auch mit etwas besserem Umgangston!

O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\idwxploz.exe = Troj/Bdoor-AV
http://www.sophos.com/virusinfo/analyses/trojbdoorav.html

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#10 So hab jetzt mal bissl was gemacht!
Erst alles gefixed und dann die Ordner gelöscht und dann Escan durchlaufen lassen.

Die Log von Escan hab ich gespeichert allerdings ist die zu lange, deswegen hab ich von den Ergebnissen einen Screenhot gemacht http://img149.echo.cx/my.php?image=unbenannt12ot.jpg Aber irgendwie hab ich nicht alle Dateien gefunden.

Hier nun die neue HiJack Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:08:04, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
D:\Programme\Internet\Popup Ad Filter\PopFilter.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis_199\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Office\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Office\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Office\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\Internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKCU\..\Run: [Popup Ad Filter] d:\Programme\Internet\Popup Ad Filter\PopFilter.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Allow Popups - d:\Programme\Internet\Popup Ad Filter\WhiteGetUrl.js
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\Internet\ICQLite\ICQLite.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

Bitte um kurzes Feedback!

TommyXP

#11 Es sind noch zwei Probleme, einmal davon abgesehen, dass Du nicht weißt, was der Backdoor auf Deinem System angerichtet hat, in Deinem Log zu sehen

O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

Den O10-Eintrag kannst Du mit LSPFIX fixen
LSPfix
http://www.cexx.org/lspfix.htm
Lies Dir die Datei lspfix.txt genau durch.

und den O20-Eintrag mit L2MFix. Benutze dazu Google bzw. die Suchfunktion im Board, z.B eines der vielen Postings von Sabina http://board.protecus.de/t17037.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#12 @ Heron

Nicht immer nur auf Sabina vertrauen, sondern auch selbst mal googeln.

Zitat

und den O20-Eintrag mit L2MFix. Benutze dazu Google bzw. die Suchfunktion im Board, z.B eines der vielen Postings von Sabina

Was ist daran schlimm? http://www.liutilities.com/products/wintaskspro/processlibrary/igfxsrvc/
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#13 Wie googlen funktioniert, das weiß ich einigermaßen!
Wollte es dem User nur einfacher machen, weil bei den Postings von Sabina gleich die Gebrauchsanweisung mitgeliefert wird.
Aber schön zu wissen, dass Du meine Beiträge aufmerksam verfolgst.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#14 hi

Zitat

Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.

Entschuldige, aber dann verstehe ich den Sinn deiner Signatur nicht
http://www.trojaner-board.de/showpost.php?p=75228
denn das gibt es hier auch, und zwar schon etwas länger, ein link hierher hätte genügt, du hättest etwas besseres mit deiner Zeit anfangen können.
http://board.protecus.de/t13020.htm

und Anleitungen gibt es von http://hjt.klaffke.de/ in der Kurzversion, oder
http://board.protecus.de/t9391.htm
http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html
http://www.windowspower.de/modules.php?name=News&file=article&sid=653 und vor allem von Sabina
http://virus-protect.org/hijackthis.html

#15 Im Prinzip hat Cidre schon recht. Der Eintrag ist wirklich nicht "böse". Hätte ich eigentlich benerken können. Manchmal hat man eben "Tomaten auf den Augen".

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch