HijackThis.log sagt "cnstat.exe", ist das Spyware-Wurm W32/Rbot-LF?! WAS TUN? |
||
---|---|---|
#0
| ||
09.04.2007, 17:49
...neu hier
Beiträge: 4 |
||
|
||
09.04.2007, 18:26
Moderator
Beiträge: 7805 |
#2
Gib uns bitte einmal diese Informationen: http://board.protecus.de/t23188.htm
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2007, 18:32
...neu hier
Themenstarter Beiträge: 4 |
#3
Zitat raman posteteHoffe, alles richtig gemacht zu haben... und danke im Voraus! Logfile of HijackThis v1.99.1 Scan saved at 17:09:03, on 09.04.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16414) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Java\jre1.5.0_11\bin\javaw.exe C:\WINDOWS\ISW\netcol.dsl\signup\service.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\DOKUME~1\AndreaA\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\NewsBee2\RSS\NewsBee2.exe" /nosplash O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - Startup: a_NetDSL.exe.lnk = C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe O4 - Startup: b_thunderbird.exe.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe O4 - Startup: c_rssowl.exe.lnk = C:\Programme\RSSOwl\rssowl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096578814621 O17 - HKLM\System\CCS\Services\Tcpip\..\{DD41E4CC-3105-46E9-B31B-0917838BAA70}: NameServer = 81.173.194.68 194.8.194.60 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\DOKUMENTE UND EINSTELLUNGEN\ALTESLAUFWERK\PROGRAMME\FRITZ!\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
09.04.2007, 18:37
Moderator
Beiträge: 7805 |
#4
Ich denke, das das ein alter Eintrag ist, aber poste noch die Punkte 3 und (vieleicht)4 aus dem obigen Thread.
Du kannst dein Antivir auch so einstellen: http://board.protecus.de/t23979.htm Danke daran, alle zusaetzliche Funde nicht zu loeschen, sondern nur in Quarantäne schieben... Achso, den Eintrag musst du natuerlich anhaken und fix checked druecken: O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2007, 19:31
...neu hier
Themenstarter Beiträge: 4 |
#5
upps, 3 und 4 hatte ich wohl vergessen, jetzt aber: siehe anhang (nur einer möglich?) und s.u.
zwar hab ich keine ahnung, was ich da gemacht hab, allerdings bin ich bissl stolz, dass ich´s überhaupt hinbekommen hab... ;-) das mit der quarantäne merk ich mir und antivir ist schon umgestellt, merci! den eintrag "O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe" oder welchen meinst du? wo anhaken? und wo "fix checked" drücken? sorry, kenne mich damit echt nicht aus :-( ergänzende infos: 1. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\WINDOWS\system32 09.04.2007 16:07 13.002 wpa.dbl 09.04.2007 16:06 54.113 vsconfig.xml 06.04.2007 10:53 18.692 mlfcache.dat 05.04.2007 23:27 9.857 jupdate-1.5.0_11-b03.log 05.04.2007 18:43 116.560 FNTCACHE.DAT 25.03.2007 12:48 311.604 perfh009.dat 25.03.2007 12:48 39.992 perfc009.dat 25.03.2007 12:48 316.594 perfh007.dat 25.03.2007 12:48 48.156 perfc007.dat 25.03.2007 12:48 723.744 PerfStringBackup.INI 08.03.2007 17:36 40.960 mf3216.dll 08.03.2007 17:36 281.600 gdi32.dll 08.03.2007 17:36 579.072 user32.dll 08.03.2007 17:32 1.843.712 win32k.sys 07.03.2007 22:36 12.619.736 MRT.exe 25.02.2007 15:11 181.736 rmoc3260.dll 25.02.2007 15:11 5.632 pndx5032.dll 25.02.2007 15:11 6.656 pndx5016.dll 25.02.2007 15:11 278.528 pncrt.dll 16.02.2007 11:54 65.536 QuickTimeVR.qtx 16.02.2007 11:54 49.152 QuickTime.qts 15.02.2007 19:01 337.280 WgaTray.exe 15.02.2007 19:01 1.476.992 LegitCheckControl.dll 15.02.2007 19:00 236.928 WgaLogon.dll 15.02.2007 17:33 122.142 TZLog.log 29.01.2007 10:58 60.416 tzchange.exe 23.01.2007 21:30 546.304 hhctrl.ocx 12.01.2007 10:27 51.712 msfeedsbs.dll 12.01.2007 10:27 477.696 mshtmled.dll 12.01.2007 10:27 670.720 mstime.dll 12.01.2007 10:27 1.149.952 urlmon.dll 12.01.2007 10:27 3.580.416 mshtml.dll 12.01.2007 10:27 458.752 msfeeds.dll 12.01.2007 10:27 6.054.400 ieframe.dll 12.01.2007 10:27 27.136 jsproxy.dll 12.01.2007 10:27 232.960 webcheck.dll 12.01.2007 10:27 132.608 extmgr.dll 12.01.2007 10:27 822.784 wininet.dll 10.01.2007 18:42 1.040.384 ieframe.dll.mui 08.01.2007 20:04 105.984 url.dll 08.01.2007 20:04 102.400 occache.dll 08.01.2007 20:03 193.024 msrating.dll 08.01.2007 20:02 1.823.744 inetcpl.cpl 08.01.2007 20:02 266.752 iertutil.dll 08.01.2007 20:02 44.544 iernonce.dll 08.01.2007 20:02 383.488 ieapfltr.dll 08.01.2007 20:02 161.792 ieakui.dll 08.01.2007 20:02 230.400 ieaksie.dll 08.01.2007 20:02 153.088 ieakeng.dll 08.01.2007 20:02 384.000 iedkcs32.dll 08.01.2007 20:01 17.408 corpol.dll 08.01.2007 20:00 124.928 advpack.dll 08.01.2007 19:08 56.832 ie4uinit.exe 08.01.2007 19:08 13.824 ieudinit.exe 1944 Datei(en) 369.740.907 Bytes 0 Verzeichnis(se), 120.696.123.392 Bytes frei 2. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\DOKUME~1\AndreaA\LOKALE~1\Temp 09.04.2007 16:07 16.384 Perflib_Perfdata_814.dat 1 Datei(en) 16.384 Bytes 0 Verzeichnis(se), 120.694.579.200 Bytes frei 3. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\WINDOWS 09.04.2007 16:06 0 0.log 09.04.2007 16:06 1.795.163 WindowsUpdate.log 09.04.2007 16:05 2.048 bootstat.dat 09.04.2007 11:54 32.618 SchedLgU.Txt 08.04.2007 19:32 737.280 iun6002.exe 07.04.2007 19:14 216 wiadebug.log 07.04.2007 14:16 50 wiaservc.log 05.04.2007 18:51 54.156 QTFont.qfn 04.04.2007 19:18 133.870 iis6.log 04.04.2007 19:18 290.338 comsetup.log 04.04.2007 19:18 176.244 ntdtcsetup.log 04.04.2007 19:18 45.525 ocmsn.log 04.04.2007 19:18 332.878 tsoc.log 04.04.2007 19:18 1.355 imsins.log 04.04.2007 19:18 13.073 KB925902.log 04.04.2007 19:18 416.927 ocgen.log 04.04.2007 19:18 43.274 msgsocm.log 04.04.2007 19:18 861.889 FaxSetup.log 04.04.2007 19:18 384.900 setupapi.log 04.04.2007 19:18 65.959 updspapi.log 04.04.2007 18:47 24 Pim.INI 20.03.2007 20:43 1.374 imsins.BAK 20.03.2007 20:43 12.100 KB929338.log 18.03.2007 20:32 116 NeroDigital.ini 11.03.2007 12:07 1.409 QTFont.for 03.03.2007 11:04 39.437 spupdsvc.log 02.03.2007 12:42 15.902 WgaNotify.log 25.02.2007 22:28 80.191 wmsetup.log 25.02.2007 15:13 14.434 mozver.dat 15.02.2007 17:34 19.322 KB927779.log 15.02.2007 17:34 16.025 KB927802.log 15.02.2007 17:34 16.538 KB928255.log 15.02.2007 17:34 13.254 KB924667.log 15.02.2007 17:34 24.996 KB931836.log 15.02.2007 17:33 14.506 KB926436.log 15.02.2007 17:33 10.161 KB928090-IE7.log 15.02.2007 17:33 12.346 KB918118.log 15.02.2007 17:32 12.191 KB928843.log 11.01.2007 21:11 4.440 KB929969.log 247 Datei(en) 18.665.640 Bytes 0 Verzeichnis(se), 120.694.558.720 Bytes frei 4. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\WINDOWS\Temp 09.04.2007 16:05 256 ZLT02dae.TMP 09.04.2007 16:05 256 ZLT0018d.TMP 2 Datei(en) 512 Bytes 0 Verzeichnis(se), 120.694.550.528 Bytes frei 5. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\WINDOWS\Downloaded Program Files 02.08.2005 16:48 495 LegitCheckControl.inf 17.01.2005 17:09 227 opuc.inf 30.09.2004 21:48 65 desktop.ini 03.08.2004 14:51 293 wuweb.inf 4 Datei(en) 1.080 Bytes 0 Verzeichnis(se), 120.692.998.144 Bytes frei 6. Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: A04C-3E3F Verzeichnis von C:\ 09.04.2007 19:15 0 sys.txt 09.04.2007 19:14 449 down.txt 09.04.2007 19:14 328 tmp.txt 09.04.2007 19:13 12.517 system.txt 09.04.2007 19:12 308 systemtemp.txt 09.04.2007 19:09 94.977 system32.txt 09.04.2007 19:03 5.448 ComboFix.txt 09.04.2007 19:03 127 ComboFix-quarantined-files.txt 09.04.2007 16:05 402.653.184 pagefile.sys 13.01.2005 19:55 21 np.tmp 03.10.2004 16:09 211 boot.ini 03.10.2004 15:59 47.564 NTDETECT.COM 03.10.2004 15:59 251.184 ntldr 30.09.2004 21:50 0 IO.SYS 30.09.2004 21:50 0 MSDOS.SYS 30.09.2004 21:50 0 AUTOEXEC.BAT 30.09.2004 21:50 0 CONFIG.SYS 18.08.2001 14:00 4.952 bootfont.bin 18 Datei(en) 403.071.270 Bytes 0 Verzeichnis(se), 120.692.981.760 Bytes frei Anhang: ComboFix_20070409.txt
|
|
|
||
09.04.2007, 19:44
Moderator
Beiträge: 7805 |
#6
starte Hijackthis und hake das Kaestchen vor
O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe und O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe an und druecke dann unten den Button "fix checked" das wars! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.04.2007, 19:56
...neu hier
Themenstarter Beiträge: 4 |
#7
supersuper. freut mich, dass es solche tollen helfer wie dich gibt. DAAAAAAAAANKE.
|
|
|
||
meine Firefox-Startseite blieb immer gleich - nämlich die von netcologne - ließ sich über geänderte Eingaben (extras... Einstellungen...) nicht verändern. Per Internetrecherche bin ich auf HijackThis -Empfehlungen gestoßen, hab dieses Programm installiert und suchen lassen. Leider kenne ich mich nicht aus, aber der Eintrag "O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe" kam mir doch seltsam vor. Auf www.sophos.de hab ich dann gefunden, dass es sich um einen Spyware-Wurm handeln soll (?), der u. a. auch meine Passwörter ausspioniert? Kann über einen solchen Wurm auch online-banking ausspioniert oder gar benutzt werden?
Kann mir jemand helfen, was soll ich tun? Die Tipps, die auf www.sophos.de beschrieben sind, kann ich nicht durchführen, da ich dafür zuwenig Ahnung hab.
Ach ja, erwähnenswert ist noch, dass ich Antivir und Zonealarm installiert und diese auch laufen.
Wünsche euch noch einen schönen Ostertag und freu mich über JEDE HILFE! DANKESEHR!!