SDBot.MAL und anderes |
||
---|---|---|
#0
| ||
03.03.2009, 19:09
Member
Themenstarter Beiträge: 28 |
||
|
||
08.03.2009, 18:26
Member
Themenstarter Beiträge: 28 |
#47
Habe mal Secunia PSI durchlaufen lassen, wie du gesagt hast: Adobe Flash Player und Winamp wurden "gemeldet" mit einem gewissen Risiko nicht up-to-date zu sein. Den Flash Player habe ich aktualisiert, aber auch hier glaube ich nicht, dass da eine Gefahr bestanden hätte/hat.
Habe ich das jetzt richtig verstanden? Wenn ich ZA und Antivir drauf habe, sollte eigentlich ja nichts durch "Hellkern" passieren? Installiere im Moment ZA. Hier nochmal das HJT-File: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:25:09, on 08.03.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\Programme\Razer\Tarantula\razerhid.exe C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Razer\Tarantula\razertra.exe C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\Programme\Winamp\winamp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Tarantula] C:\Programme\Razer\Tarantula\razerhid.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ApplyEsf-eDocPrintPro] "C:\Programme\Gemeinsame Dateien\MAYComputer\eDocPrintPro\\ApplyEsf.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Secunia PSI.lnk = C:\Programme\Secunia\PSI\psi.exe O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1234377836187 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 9034 bytes ========== Im Anhang die Meldung, die ich von Kaspersky immer kriege. Grüße Dieser Beitrag wurde am 08.03.2009 um 18:30 Uhr von MyHome editiert.
|
|
|
||
08.03.2009, 18:28
Member
Beiträge: 3716 |
#48
kaspersky alein reicht, auch winamp muss aktualisiert werden!
|
|
|
||
08.03.2009, 18:30
Member
Themenstarter Beiträge: 28 |
#49
Gut, Kaspersky läuft aber ja aus.... d.h. Antivir und ZA ohne Kaspersky dürften auch ausreichen, nicht?
ZA bricht installation immer ab, d.h. das dauert noch etwas. Muss mal probieren, obs anders zu installieren geht. |
|
|
||
08.03.2009, 18:34
Member
Beiträge: 3716 |
#50
also wenn du geld ausgeben wilst würde ich dir antivir premium empfehlen 20 € finde ich ist ok
|
|
|
||
08.03.2009, 18:37
Member
Themenstarter Beiträge: 28 |
#51
Bin schon die ganze Zeit am überlegen ;o)
Zumindest sollte das Thema "Hellkern" aber für mich jetzt vom Tisch sein, was meinst du? , da habe ich grad Kaspersky mal aus gehabt, um zu schauen, ob ich so ZA installieren kann. Nach 5 min wieder eingeschaltet und wumms, 2 Computerverbindungen werden gemeldet und unterbrochen... Ich frag mich langsam ob das nur an Kaspersky liegt und das alles früher auch schon war (alles ohne Probleme) und K nur Bullshit verzählt. KA XoD Werde langsam paranoid, hehe. Intrusion.Win.LSASS.exploit und Intrusion.Win.LSASS.ASN1-kill-bill.exploit Dieser Beitrag wurde am 08.03.2009 um 18:46 Uhr von MyHome editiert.
|
|
|
||
08.03.2009, 18:44
Member
Beiträge: 3716 |
#52
dieser wurm ist kein problem für dein pc
|
|
|
||
08.03.2009, 18:49
Member
Themenstarter Beiträge: 28 |
#53
zumindest das wäre also geklärt
|
|
|
||
12.03.2009, 13:34
Member
Themenstarter Beiträge: 28 |
#54
Hallo, ich mal wieder :oP
Bin ja froh, dass der Wurm mir nix kann. Aber wegen den regelmäßigen Meldungen von Kaspersky und meinem Nichtkönnen eine Installation von ZA zu beenden (bricht immer ab), habe ich Antivir in Version der Boot-CD (startet beim Systemstart ohne das Betriebssystem zu benutzen und man kann hiermit das System scannen, ohne dass der Rechner dies bemerkt) durchleuchtet. Dabei gabs paar Warnungen, aber hauptsächlich weil die Files verschlüsselt sind. Jedoch ein Fund. An diesem könnte es liegen, dass ZA nicht installiert werden kann und auch die regelmäßigen Meldungen von Kaspersky. Folgende Fundmeldung steht im Log: Alert: [TR/Dldr.100352.C] /mnt/sda6/SystemVolume Information/restore{42823287-598F-44D9-9643-4692DFA28814}/RP50/A0024842.exe --> Trojan horse TR/Dldr.100352.C Kann ich diese Datei, irgendwie konkret löschen, oder wie muss ich da vorgehen, da das ja in einem restore-Ordner liegt. Gruß Edit: eben im Standby hat Antivir genau diese exe identifiziert. Über das Pop-Up habe ichs mit der Funktion "löschen" abgefertigt. Sollte also jetzt auch weg sein. Wenn keine Meldungen von Kaspersky kommen, ist die Sache erledigt (mal abwarten, was passiert.) Dieser Beitrag wurde am 12.03.2009 um 19:12 Uhr von MyHome editiert.
|
|
|
||
16.03.2009, 17:23
Member
Beiträge: 3716 |
#55
die systemwiederherstellung ab und anschalten, aber da du dauernd probleme hast, setze das system lieber neu auf, anleitung findest du im forum.
|
|
|
||
Aktuellster Stand? Also über "Microsoft Updates" kriege ich atm. keine Updates mehr, weil ich alle schon habe. Zusätzlich habe ich mir für Word ein Update geholt. Am WE hole ich mir dann nach längerer Zeit mal wieder ZA und wenn KAS-Trial ausläuft, sollten ZA und Antivir ausreichen. IE7 brauche ich eigentlich nicht, weil ich Firefox nutze. Den Software Inspector lasse ich dann am WE mal durchlaufen. Mic SQL-Server habe ich nicht droben ;o)
Danke soweit und dir noch einen schönen Abend.