Home » Viren, Trojaner & Malware Forum » Virus? Bitte helfen! » Themenansicht

Virus? Bitte helfen!
#0
23.11.2003, 00:24
Blutdrache
...neu hier

Beiträge: 6
#1 Hi,

ich habe heute einige Mosifikationen an KEN! DSL gemacht um online Spielen zu können. Es hieß in der Anleitung auch, dass dadurch Verbindungen vom PC ins Net von Programmen ungewollt hergestellt werden können.

Genau das passiert bei mir! Ich bin ständig online, obwohl ich kein IE oder sonstige online Programme am laufen habe. Hier mal eine Liste mit den Prozessen:

Display.dll
taskmgr.exe
SVCHOST.EXE
NVSVC32.EXE
KENCLI.EXE -----> KEN! DSL
AVWUPSRV.EXE
CTFMON.exe
YSTCK32.exe
MBM5.EXE -----> Motherboardmonitor 5
realsched.exe
TYPE32.exe
KENTBCLI.exe ------> KEN! DSL
EM_EXEC.exe
RUNDLL32.exe
EXPLORER.exe
SPOOLSV.exe
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
SVCHOST.EXE
LSASS.exe
SERVICES.exe
WINLOGON.exe
CSESS.ese
SMSS.exe
System
Leerlaufprozess

Ich hab alles mit AntiVir gestet, negativ. Aber wer baut dann die Verbindungen auf? Bitte helft mir...
Seitenanfang Seitenende
23.11.2003, 01:41
gemini
...neu hier

Beiträge: 2
#2 solltst dir einen portmonitor installiern
oder guck mal in der firewall nach nem
status window.
Seitenanfang Seitenende
23.11.2003, 09:38
raman
Moderator

Beiträge: 7805
#3 DU hast mehrere Moeglichkeiten:

Poste mal ein Hijackthis log. Da kamm man dann mehr sehen.
http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwort hineinkopieren.


oder installiere dir mal TCPview: http://www.sysinternals.com/ntw2k/source/tcpview.shtml
Das zeigt dir an, welche Programme gerade mit dem INternet verbunden sind.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.11.2003, 14:17
Blutdrache
...neu hier

Themenstarter

Beiträge: 6
#4 Hi,

also ich hab die zweite Methode auch probiert, da ich aber die KEn! Verbindungssoftware hab ist es klar, dass immer diese online geht. Hier mal der Log:

Logfile of HijackThis v1.97.7
Scan saved at 14:19:16, on 23.11.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\ystck32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Phillip Busam\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.1:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {3643ABC2-21BF-46B9-B230-F247DB0C6FD6} - C:\E2G\IeBHOs.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [YahooStock] C:\WINDOWS\ystck32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Phillip Busam\Desktop\Ordner\uptime\client.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/germania.exe
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoading.cab
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759021.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.wanadoo.fr/components/ExentCtl.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37833.2249421296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://www.stardialer.de/install/StarInstall.ocx
O16 - DPF: {FC327B3F-377B-4CB7-8B61-27CD69816BC3} - http://www.getweathercast.com/WeatherAutoCAST0010.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://3dgamers.tukati.com/tukati/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5669050-2F17-4CFB-9541-D9280BC2BE13}: NameServer = 192.168.0.1
Seitenanfang Seitenende
23.11.2003, 14:36
disc-q
Member

Beiträge: 293
#5

Zitat

Blutdrache postete
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - hxxp://www.stardialer.de/install/StarInstall.ocx



das sieht komisch aus oder nicht?
was issen das für ein dialer?
__________
Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre!
Dieser Beitrag wurde am 23.11.2003 um 14:37 Uhr von disc-q editiert.
Seitenanfang Seitenende
23.11.2003, 15:02
Blutdrache
...neu hier

Themenstarter

Beiträge: 6
#6 Ahhh wie bekomm ich den Mist weg?
Seitenanfang Seitenende
23.11.2003, 15:21
Blutdrache
...neu hier

Themenstarter

Beiträge: 6
#7 Ich hab mal AD Aware dürber laufen lassen, leider ist immer nich genug Mist drauf! Wie bekomme ich den auch noch weg? ;)

Logfile of HijackThis v1.97.7
Scan saved at 15:22:14, on 23.11.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Motherboard Monitor 5\DLL\display.dll
C:\Dokumente und Einstellungen\Phillip Busam\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freemail.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.1:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.1:3128;https=192.168.0.1:3128;ftp=192.168.0.1:3128;socks=192.168.0.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MBM 5] C:\Programme\Motherboard Monitor 5\MBM5.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Phillip Busam\Desktop\Ordner\uptime\client.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.1:3128/ken2000.html
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/germania.exe
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759021.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.wanadoo.fr/components/ExentCtl.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37833.2249421296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://3dgamers.tukati.com/tukati/1.7.20.20/tukati.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5669050-2F17-4CFB-9541-D9280BC2BE13}: NameServer = 192.168.0.1
Seitenanfang Seitenende
23.11.2003, 19:08
raman
Moderator

Beiträge: 7805
#8 Also lasse dieses mal von Hijackthis "fix"en:
O4 - HKCU\..\Run: [Uptime-Project] C:\Dokumente und Einstellungen\Phillip Busam\Desktop\Ordner\uptime\client.exe
O16 - DPF: {FE5D6722-826F-11D5-A24E-0060B0F1A5AE} (Tukati Launcher) - http://3dgamers.tukati.com/tukati/1.7.20.20/tukati.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.142/code/PWActiveXImgCtl.CAB
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://metaboli.wanadoo.fr/components/ExentCtl.ocx
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.7adpower.com/dialer/germania.exe
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.browserplugin.com/eroticAccess/cabs/1759021.cab

Und folgendes kann weg(brauch aber nicht):
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.11.2003, 21:08
Blutdrache
...neu hier

Themenstarter

Beiträge: 6
#9 Oh ich hatte gar nicht gesehen, dass man mit dem Prog fixen kann ;) DANKE
Seitenanfang Seitenende
23.11.2003, 21:23
raman
Moderator

Beiträge: 7805
#10 BTW: Hast du schon mal daran gedacht, dir ein AV-Programm zuzulegen? Und sei es Antivir(www.free-av.de) oder Avast(www.avast.com)? die kostenlosen Versionen von Spybot(security.kolla.de) oder Adaware(www.lavasoft.com) waeren auch nicht falsch.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
23.11.2003, 22:31
Blutdrache
...neu hier

Themenstarter

Beiträge: 6
#11 Ich hab Antvir und ich hab Adaware ;) Nur diese beiden haben nicht alle erkannt... ;)
Seitenanfang Seitenende
23.11.2003, 22:52
raman
Moderator

Beiträge: 7805
#12 Ich habe gar keinen Aufruf von dem Antivirguard in deinem HT Log gesehen!;)
Wie waers zum Aschluss noch mit einem aktuellen Log? ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1