HijackThis.log sagt "cnstat.exe", ist das Spyware-Wurm W32/Rbot-LF?! WAS TUN?

#1 Hallo,

meine Firefox-Startseite blieb immer gleich - nämlich die von netcologne - ließ sich über geänderte Eingaben (extras... Einstellungen...) nicht verändern. Per Internetrecherche bin ich auf HijackThis -Empfehlungen gestoßen, hab dieses Programm installiert und suchen lassen. Leider kenne ich mich nicht aus, aber der Eintrag "O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe" kam mir doch seltsam vor. Auf www.sophos.de hab ich dann gefunden, dass es sich um einen Spyware-Wurm handeln soll (?), der u. a. auch meine Passwörter ausspioniert? Kann über einen solchen Wurm auch online-banking ausspioniert oder gar benutzt werden?
Kann mir jemand helfen, was soll ich tun? Die Tipps, die auf www.sophos.de beschrieben sind, kann ich nicht durchführen, da ich dafür zuwenig Ahnung hab.
Ach ja, erwähnenswert ist noch, dass ich Antivir und Zonealarm installiert und diese auch laufen.

Wünsche euch noch einen schönen Ostertag und freu mich über JEDE HILFE! DANKESEHR!!

#2 Gib uns bitte einmal diese Informationen: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3

Zitat

raman postete
Gib uns bitte einmal diese Informationen: http://board.protecus.de/t23188.htm

Hoffe, alles richtig gemacht zu haben... und danke im Voraus!

Logfile of HijackThis v1.99.1
Scan saved at 17:09:03, on 09.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Java\jre1.5.0_11\bin\javaw.exe
C:\WINDOWS\ISW\netcol.dsl\signup\service.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\AndreaA\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [NewsBee Private Edition] "C:\Programme\hhS Siegfried Hirsch\NewsBee2\RSS\NewsBee2.exe" /nosplash
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - Startup: a_NetDSL.exe.lnk = C:\WINDOWS\ISW\netcol.dsl\signup\ncdial.exe
O4 - Startup: b_thunderbird.exe.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O4 - Startup: c_rssowl.exe.lnk = C:\Programme\RSSOwl\rssowl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096578814621
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD41E4CC-3105-46E9-B31B-0917838BAA70}: NameServer = 81.173.194.68 194.8.194.60
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\DOKUMENTE UND EINSTELLUNGEN\ALTESLAUFWERK\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#4 Ich denke, das das ein alter Eintrag ist, aber poste noch die Punkte 3 und (vieleicht)4 aus dem obigen Thread.

Du kannst dein Antivir auch so einstellen: http://board.protecus.de/t23979.htm

Danke daran, alle zusaetzliche Funde nicht zu loeschen, sondern nur in Quarantäne schieben...

Achso, den Eintrag musst du natuerlich anhaken und fix checked druecken:

O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe
__________
MfG Ralf
SEO-Spam Hunter

#5 upps, 3 und 4 hatte ich wohl vergessen, jetzt aber: siehe anhang (nur einer möglich?) und s.u.
zwar hab ich keine ahnung, was ich da gemacht hab, allerdings bin ich bissl stolz, dass ich´s überhaupt hinbekommen hab... ;-)

das mit der quarantäne merk ich mir und antivir ist schon umgestellt, merci!

den eintrag "O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe" oder welchen meinst du? wo anhaken? und wo "fix checked" drücken? sorry, kenne mich damit echt nicht aus :-(

ergänzende infos:
1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\WINDOWS\system32
09.04.2007 16:07 13.002 wpa.dbl
09.04.2007 16:06 54.113 vsconfig.xml
06.04.2007 10:53 18.692 mlfcache.dat
05.04.2007 23:27 9.857 jupdate-1.5.0_11-b03.log
05.04.2007 18:43 116.560 FNTCACHE.DAT
25.03.2007 12:48 311.604 perfh009.dat
25.03.2007 12:48 39.992 perfc009.dat
25.03.2007 12:48 316.594 perfh007.dat
25.03.2007 12:48 48.156 perfc007.dat
25.03.2007 12:48 723.744 PerfStringBackup.INI
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
25.02.2007 15:11 181.736 rmoc3260.dll
25.02.2007 15:11 5.632 pndx5032.dll
25.02.2007 15:11 6.656 pndx5016.dll
25.02.2007 15:11 278.528 pncrt.dll
16.02.2007 11:54 65.536 QuickTimeVR.qtx
16.02.2007 11:54 49.152 QuickTime.qts
15.02.2007 19:01 337.280 WgaTray.exe
15.02.2007 19:01 1.476.992 LegitCheckControl.dll
15.02.2007 19:00 236.928 WgaLogon.dll
15.02.2007 17:33 122.142 TZLog.log
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 822.784 wininet.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
1944 Datei(en) 369.740.907 Bytes
0 Verzeichnis(se), 120.696.123.392 Bytes frei

2.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\DOKUME~1\AndreaA\LOKALE~1\Temp
09.04.2007 16:07 16.384 Perflib_Perfdata_814.dat
1 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 120.694.579.200 Bytes frei

3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\WINDOWS
09.04.2007 16:06 0 0.log
09.04.2007 16:06 1.795.163 WindowsUpdate.log
09.04.2007 16:05 2.048 bootstat.dat
09.04.2007 11:54 32.618 SchedLgU.Txt
08.04.2007 19:32 737.280 iun6002.exe
07.04.2007 19:14 216 wiadebug.log
07.04.2007 14:16 50 wiaservc.log
05.04.2007 18:51 54.156 QTFont.qfn
04.04.2007 19:18 133.870 iis6.log
04.04.2007 19:18 290.338 comsetup.log
04.04.2007 19:18 176.244 ntdtcsetup.log
04.04.2007 19:18 45.525 ocmsn.log
04.04.2007 19:18 332.878 tsoc.log
04.04.2007 19:18 1.355 imsins.log
04.04.2007 19:18 13.073 KB925902.log
04.04.2007 19:18 416.927 ocgen.log
04.04.2007 19:18 43.274 msgsocm.log
04.04.2007 19:18 861.889 FaxSetup.log
04.04.2007 19:18 384.900 setupapi.log
04.04.2007 19:18 65.959 updspapi.log
04.04.2007 18:47 24 Pim.INI
20.03.2007 20:43 1.374 imsins.BAK
20.03.2007 20:43 12.100 KB929338.log
18.03.2007 20:32 116 NeroDigital.ini
11.03.2007 12:07 1.409 QTFont.for
03.03.2007 11:04 39.437 spupdsvc.log
02.03.2007 12:42 15.902 WgaNotify.log
25.02.2007 22:28 80.191 wmsetup.log
25.02.2007 15:13 14.434 mozver.dat
15.02.2007 17:34 19.322 KB927779.log
15.02.2007 17:34 16.025 KB927802.log
15.02.2007 17:34 16.538 KB928255.log
15.02.2007 17:34 13.254 KB924667.log
15.02.2007 17:34 24.996 KB931836.log
15.02.2007 17:33 14.506 KB926436.log
15.02.2007 17:33 10.161 KB928090-IE7.log
15.02.2007 17:33 12.346 KB918118.log
15.02.2007 17:32 12.191 KB928843.log
11.01.2007 21:11 4.440 KB929969.log

247 Datei(en) 18.665.640 Bytes
0 Verzeichnis(se), 120.694.558.720 Bytes frei

4.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\WINDOWS\Temp
09.04.2007 16:05 256 ZLT02dae.TMP
09.04.2007 16:05 256 ZLT0018d.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 120.694.550.528 Bytes frei

5.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\WINDOWS\Downloaded Program Files
02.08.2005 16:48 495 LegitCheckControl.inf
17.01.2005 17:09 227 opuc.inf
30.09.2004 21:48 65 desktop.ini
03.08.2004 14:51 293 wuweb.inf
4 Datei(en) 1.080 Bytes
0 Verzeichnis(se), 120.692.998.144 Bytes frei

6.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A04C-3E3F
Verzeichnis von C:\
09.04.2007 19:15 0 sys.txt
09.04.2007 19:14 449 down.txt
09.04.2007 19:14 328 tmp.txt
09.04.2007 19:13 12.517 system.txt
09.04.2007 19:12 308 systemtemp.txt
09.04.2007 19:09 94.977 system32.txt
09.04.2007 19:03 5.448 ComboFix.txt
09.04.2007 19:03 127 ComboFix-quarantined-files.txt
09.04.2007 16:05 402.653.184 pagefile.sys
13.01.2005 19:55 21 np.tmp
03.10.2004 16:09 211 boot.ini
03.10.2004 15:59 47.564 NTDETECT.COM
03.10.2004 15:59 251.184 ntldr
30.09.2004 21:50 0 IO.SYS
30.09.2004 21:50 0 MSDOS.SYS
30.09.2004 21:50 0 AUTOEXEC.BAT
30.09.2004 21:50 0 CONFIG.SYS
18.08.2001 14:00 4.952 bootfont.bin
18 Datei(en) 403.071.270 Bytes
0 Verzeichnis(se), 120.692.981.760 Bytes frei

#6 starte Hijackthis und hake das Kaestchen vor
O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe
und
O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe
an und druecke dann unten den Button "fix checked" das wars!
__________
MfG Ralf
SEO-Spam Hunter

#7 supersuper. freut mich, dass es solche tollen helfer wie dich gibt. DAAAAAAAAANKE.