hijackthis logfile-auswertung --> ständig viren/würmer/trojaner warnungen

#0
27.10.2006, 14:54
...neu hier

Beiträge: 4
#1 Hallo! Ich bekomme von avira ständig virusmeldungen, habe versucht die dateien im abgesicherten modus zu löschen, waren aber nach dem neustart alle schön wieder da.
was kann ich denn jetzt tun, um die alle wieder loszuwerden?
hier das hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:38:38, on 27.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\svcchost.exe
C:\WINDOWS\winupdt.18qsm.exe
C:\WINDOWS\system32\qttsk.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\mxs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\win32bootconfig.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\win32host.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00009.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: edit_html Class - {14D1A72D-8705-11D8-B120-0040F46CB696} - C:\Dokumente und Einstellungen\kate\1025203330.dll
O2 - BHO: ib4.CBrowserHelper - {1E6CE4CD-161B-4847-B8BF-E2EF72299D69} - C:\WINDOWS\System32\ib14.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [msvcc25] svcchost.exe
O4 - HKLM\..\Run: [MSN Live Messanger] msnlive.exe
O4 - HKLM\..\Run: [Task Manager Win32] C:\WINDOWS\System32\taskmngr32.exe
O4 - HKLM\..\Run: [Windows Update Scheduler] C:\WINDOWS\winupdt.18qsm.exe
O4 - HKLM\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKLM\..\Run: [Microsoft Windows Session Manager Subsystem] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [Microsoft Windows Logon Process] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
O4 - HKLM\..\RunServices: [MSN Live Messanger] msnlive.exe
O4 - HKLM\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [lrtsm] C:\WINDOWS\system32\qttsk.exe
O4 - HKCU\..\Run: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00009.exe"
O4 - HKCU\..\RunServices: [Microsoft Directxsp] directxbt.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {DEA0D129-BA17-4AD5-83AD-EC67BF9782C9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {DEA0D129-BA17-4AD5-83AD-EC67BF9782C9} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A518F6F1-327F-4B1F-BA3D-1A1786A26C66}: NameServer = 62.52.50.211 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8F35B08-D0E1-430C-9C4B-695B683CDC9C}: NameServer = 192.168.60.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InstallDriver Service (ISDS) - Unknown owner - C:\WINDOWS\system32\csscv.exe (file missing)
O23 - Service: Windows Logon Process Service (MSWinLogonProcService) - Unknown owner - C:\WINDOWS\winlogon.exe" -service (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Win32 Boot Configuration (Win32 Boot Config) - Unknown owner - C:\WINDOWS\win32bootconfig.exe
O23 - Service: Win32 Kernel Update (Win32Kernel) - Unknown owner - C:\WINDOWS\win32host.exe
Seitenanfang Seitenende
27.10.2006, 14:58
Member

Beiträge: 3716
#2 hallo, bei deinem veralteten system würde ich dir wahrscheinlich zum format c: raten.
hier im forum gibt es einen tread der sich mit richtigem formatieren und neuinstalation befasst. du brauchst dringenst servicepack 2
dein windows hat noch nie ein update gesehen.
falls du nicht formatieren willst, wo wurden welche viren gefunden?
aber formatieren wird höwahrscheinlich das schnellste sein!
Seitenanfang Seitenende
27.10.2006, 15:10
...neu hier

Themenstarter

Beiträge: 4
#3 oh,wollte eigentlich nicht gleich formatieren...aber ich glaub fast dass es dann das beste sein wird. wo ist dieser tread?
es sind alle mögl. viren drauf, avira zeigt an zb.Tr/psw.sinowal.be ; Tr/qhosts.w ; click.small(c:\windows) etc....
Seitenanfang Seitenende
27.10.2006, 15:14
Member

Beiträge: 130
#4 msnlive.exe ...
http://www.sophos.de/security/analyses/w32tilebotcn.html

Auch noch ein DNS Changer?

O17 - HKLM\System\CCS\Services\Tcpip\..\{A518F6F1-327F-4B1F-BA3D-1A1786A26C66}: NameServer = 62.52.50.211 193.189.244.205
O17 - HKLM\System\CCS\Services\Tcpip\..\{F8F35B08-D0E1-430C-9C4B-695B683CDC9C}: NameServer = 192.168.60.1


edit:

sinowal.. http://www.avira.com/de/threats/section/fulldetails/id_vir/2544/tr_psw.sinowal.v.5.html
clicksmall...
http://www.avira.com/de/threats/section/details/id_vir/1133/tr_click.small.hr.html

und wenn ich mir anschaue was die angeblich können sollen wäre wirklich formatieren ratsam...
Dieser Beitrag wurde am 27.10.2006 um 15:19 Uhr von Terementor editiert.
Seitenanfang Seitenende
27.10.2006, 15:17
...neu hier

Themenstarter

Beiträge: 4
#5 ??dns-changer?
ich hab da nicht so die ahnung....
Seitenanfang Seitenende
27.10.2006, 15:22
Member

Beiträge: 3716
#6 hallo, da dein betriebssystem veraltet ist (noch nie updates)
kann noch viel mehr drauf sein als antivir angemeckert hat...
das schnellste und wahrscheinlich beste ist formatieren.
http://forum.antivir-pe.de/thread.php?threadid=6123
auch schon vor dem Formatieren lesen ist sehr gut!
ob du formatieren willst, musst natürlich du wissen.
wenn du formatierst, beachte 1. den link den ich dir grad gab. und zwar vor und nach Format und melde dich
2. Nach formatieren und aufspielen aller wichtigen Programme mit nem neuen hijackthis log zurück.
du musst auch jeden monat windows updates einspielen!
www.windowsupdates.com
auch wie in dem sicherheitskonzept beschrieben solltest du firefox anstatt den internetexplorer nutzen.
Seitenanfang Seitenende
27.10.2006, 15:24
Member

Beiträge: 130
#7 Ich hab da auch nicht die mega ahnung von, die hat Sabina ;)

Aber sieht so aus als wird dein inet umgeleitet und wenn du dir die beschreibungen von sinowal und clicksmall anguckst...

Auswirkungen:
• Erstellt schädliche Dateien
• Änderung an der Registry
• Stiehlt Informationen
• Ermöglicht unbefugten Zugriff auf den Computer


Auswirkungen:
• Terminierung von Sicherheitsprogrammen
• Änderung an der Registry
Seitenanfang Seitenende
27.10.2006, 15:28
...neu hier

Themenstarter

Beiträge: 4
#8 dann mach ich das mal... so ein mist echt...
dankeschön fürs helfen ;) ich meld mich dann wenn ichs hingekommen hab ;)
Seitenanfang Seitenende
27.10.2006, 15:34
Member

Beiträge: 3716
#9 naja, dass größte problem ist wie ich finde halt auch das es keinerlei updates gibt! ein einfallstoor für jede schadsoftware!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: