Verseuchter-PC (HiJackThis-Protokoll da)

#0
10.05.2008, 00:06
Member

Beiträge: 30
#1 Hallo,
also der Geschäfts-PC scheint ziemlich infiziert zu sein, es ist nicht meiner, also nicht, dass ihr denkt ich war's ;)

Betriebssystem ist Win2000. Da es ein Geschäfts-PC ist, kann ich nicht das System einfach neu aufsetzen, da zuviele Daten im Spiel sind und der Rechner jeden Tag laufen muss.
Komisch kommen mir vor die files:
C:\WINNT\Fonts\svchost.exe
und die lsass.exe unter C:\Dokumente und Einstellungen\administrator

Ich habe die lsass mal ins Quarantäneverzeichnis verschoben mit Hilfe des Programms Security Task Manager.

Was auch komisch ist, ist, dass wenn ich mich unter dem admin acc anmelde, sich ein cmd - Fenster öffnet mit dem Befehl "lmss.exe", was ja laut google bei Win dabei ist. Ich denke mal durch diese exe, fängt auf einmal der Drucker am LPT1 zu drucken, das ist alles ein bisschen komisch ...

Ich lege euch noch den Hijack - file dazu, muss dazu sagen, es waren noch 2 Internet Explorer geöffnet, wahrsch. daher die vielen IE - Sachen dabei.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:51:11, on 09.05.08
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\atiptaxx.exe
C:\WINNT\system32\desk95.exe
C:\Programme\T-DSL Business\bolog.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe
C:\WINNT\Mixer.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\WINNT\Fonts\svchost.exe
C:\Programme\Microsoft Office 97\Office\OSA.EXE
C:\WINNT\explorer.exe
C:\Programme\TeamViewer\TeamViewer.exe
C:\Programme\DynGate\DynGate.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\Lavasoft\AD-AWA~2\Ad-Aware.exe
C:\Programme\Security Task Manager\taskman.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B3102264-D09D-4322-B625-503FBF18DD7E} - C:\WINNT\system32\qoMcyVPj.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe
O4 - HKLM\..\Run: [onlejvdsf] C:\WINNT\System32\hfawsm.exe
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [Y5t1i4] C:\WINNT\ebuvy.exe
O4 - HKLM\..\Run: [Bqjujz] C:\Program Files\Rtxna\Pahyt.exe
O4 - HKLM\..\Run: [BusinessOnline Log] "C:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.03.0000.1005\de\msnappau.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA AntiVirenKit\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\Heizmann\lsass.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office 97\Office\OSA.EXE
O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFI\wzed.exe
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by113fd.bay113.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {639658F3-B141-4D6B-B936-226F75A5EAC3} (CPlayFirstDinerDash2Control Object) - http://webgames.d.tmsrv.com/c=ea703c062b122ac7c1563629c33aa9ab/aff=t_25oa_deca_wg/p/release/playfirst/wg_dinerdash2/dinerdash2/DinerDash2.1.0.0.48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161344183672
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yse/ymmapi_416.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O16 - DPF: {DC75FEF6-165D-4D25-A518-C8C4BDA7BAA6} (CPlayFirstDinerDashControl Object) - http://webgames.d.tmsrv.com/c=c81d0ff181e1de959a1e593c76d89d6d/aff=t_25oa_deca_wg/p/release/playfirst/wg_dinerdash/dinerdash/DinerDash.1.0.0.58.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/mail/activex/fa_os_mms/upload_1132.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IncrediMail) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O20 - Winlogon Notify: qoMcyVPj - C:\WINNT\SYSTEM32\qoMcyVPj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA AntiVirenKit\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA AntiVirenKit\AVK\AVKWCtl.exe
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\pcANYWHERE\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IomegaAccess - Unknown owner - C:\Programme\Iomega\Tools_NT\IOMEGAACCESS.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: ZipToA - Unknown owner - C:\WINNT\System32\ZipToA.exe

--
End of file - 9599 bytes

Dieser Beitrag wurde am 10.05.2008 um 00:12 Uhr von MCPullermann editiert.
Seitenanfang Seitenende
10.05.2008, 01:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo MCPullermann

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wählefix checked.

Zitat

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O2 - BHO: (no name) - {B3102264-D09D-4322-B625-503FBF18DD7E} - C:\WINNT\system32\qoMcyVPj.dll

O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk95.exe

O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe

O4 - HKLM\..\Run: [www.hidro.4t.com ] enbiei.exe

O4 - HKLM\..\Run: [onlejvdsf] C:\WINNT\System32\hfawsm.exe

O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe

O4 - HKLM\..\Run: [Y5t1i4] C:\WINNT\ebuvy.exe

O4 - HKLM\..\Run: [Bqjujz] C:\Program Files\Rtxna\Pahyt.exe

O4 - HKLM\..\Run: [LSA Shellu] C:\Dokumente und Einstellungen\Heizmann\lsass.exe

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

O20 - Winlogon Notify: qoMcyVPj - C:\WINNT\SYSTEM32\qoMcyVPj.dll

2.
wende sdfix an , muss im abgesicherten Modus sein + poste hier nach Neustart den report
http://virus-protect.org/artikel/tools/sdfix.html

3.
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

4.
wende Combofix an (Warnmeldung wegklicken) + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2008, 11:20
Member

Themenstarter

Beiträge: 30
#3 Hallo,

kann ich das 2. auch als letztes machen o. ist das eine Reihenfolge, bei der es Sinn hat sie einzuhalten ? Ansonsten mache ich das 2. als letztes, weil es glaube ich das einzigste ist, das mit Fernwartung nicht geht.

Gruß
Seitenanfang Seitenende
10.05.2008, 12:50
Moderator

Beiträge: 7805
#4 Ich muss hier mal den Spielverderber machen, das System ist und war hochgradig verseucht (es sind ja sogar noch Blaster Eintraege da) Ihr muesst davon ausgehen, das alle Passworte und aehnliches irgendwo im Intenet bekannt sind.
Was du, bzw deine Firma machst ist mir im Grunde egal. Schrei aber nicht, wenn Combofix dir den Rechner zerlegen sollte!;)

Achso, Punkt 4 geht auch nicht via Fernwartung, das killt dir als erstes die Netzwerkverbindung.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.05.2008, 13:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 am besten, du scannst nach dem Fixen mit hijackThis erst mal mit dem Stinger, dann alles weitere abarbeiten
http://vil.nai.com/vil/stinger/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.05.2008, 14:10
Member

Themenstarter

Beiträge: 30
#6

Zitat

MCPullermann postete
Hallo,

kann ich das 2. auch als letztes machen o. ist das eine Reihenfolge, bei der es Sinn hat sie einzuhalten ? Ansonsten mache ich das 2. als letztes, weil es glaube ich das einzigste ist, das mit Fernwartung nicht geht.

Gruß
Danke für eure schnellen Antworten ;)
Mh ..., sollte ich das Combofix dann weglassen ? ;)
Also wenn die ganzen Daten weg sind, ist naja ^^ ich schreib das Wort nicht.


Ich zeig den Thread mal meiner Mum. Das ist das Problem, wenn der Geschäft's-PC von 17jährigen als Spiele-PC missbraucht wird ...

Vielen Dank an euch, ich schreib' euch die Protokolle im Laufe des Nachmittags.
Aber sollte schon noch wissen, ob Combofix meinen Rehcner ganz lässt, wenn ja, mach ich's, wenn nein, nicht ;)

Gruß

Edit: Er will irgendwie auch andauernd irgendwelche Spyware Progs installen, also der i-explorer öffnet sich von selbst, also das Fenster. Dann, wenn ich es schliesse, kommt auf dem Desktop ein Frage, wo ich anklicken muss, ob es installiert werden soll o. nicht ...
Dieser Beitrag wurde am 10.05.2008 um 14:17 Uhr von MCPullermann editiert.
Seitenanfang Seitenende
10.05.2008, 14:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 arbeite erst mal alles ab, also per HijackThis fixen, neustarten, stinger, sdfix (im abgesicherten modus), dann kannst du auch Combofix anwenden, allerdings nicht per Fernsteuerung.
Poste von allen scans immer die Logs hier
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: