Habe ich da Malware auf dem Rechner?

#0
28.02.2004, 08:29
Member

Beiträge: 462
#1 Hallo Leute,
ich glaube bei mir hat sich (mindestens) ein Übeltäter an Board geschlichen. Ad-aware (upgedatet), SpyBot (kein UpD. gefunden), sowie CWShredder und Norton AV (ließen sich beide NICHT updaten!) haben nichts gefunden. Mein Zugriff auf diverse Downloadseiten war aber blockiert, bzw. so wie im Fall des "SpoonWeg"-Tools wurde ich (über den Link unter dem Tool hier im Forum) auf eine offensichtlich kommerzielle Suchmaschine umgeleitet.

Habs beim dritten Versuch endlich geschafft HJT downzuloaden. Kann sich bitte mal einer von euch das anschauen und mir, einem blutigen PC-Anfänger, sagen, ob und wenn ja, was da "gefixed" werden muss?
Und falls notwendig, was ich sonst noch beachten muss (Systemwiederherst. abschalten? o.ä.?)
Und bitte für nen Newby verständlich. Ich kenne noch lange nicht alle Funktionen meines Rechners ;)

Logfile of HijackThis v1.97.7
Scan saved at 07:50:37, on 28.02.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
G:\Downloads\Tools\Viren-Abwehr\highJack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.pa-te.com/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/017c40edeac8adfeae05/netzip/RdxIE601_de.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38027.6154166667
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Im Voraus schon mal allerbesten Dank und Respect für die tolle Arbeit die ihr hier leistet :yo

Nachtrag:
Norton AV 2003 ließ sich inzwischen updaten (Vir.Def.). Kompletter gründlicher Scan war negativ.
CWShredder lässt sich immer noch nicht updaten ("ich solle es später nochmals versuchen"; wie viel später den noch?), findet aber so nichts.
Ad-aware hat ein Tracking Cookie nun gefunden (aber die hab ich öfter).

Könnte sich bitte mal einer mein HiJackThis Log anschauen? Biddää
__________
U can get it if u really want! (J.Cliff)
Dieser Beitrag wurde am 28.02.2004 um 17:35 Uhr von RollaCoasta editiert.
Seitenanfang Seitenende
28.02.2004, 20:01
Member

Beiträge: 1095
#2 @RollaCoasta

Logfile sieht sauber aus.

Das einzige was raus kann ist dies
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/017c40edeac8adfeae05/netzip/RdxIE601_de.cab

Das folgende, kann raus muß aber nicht
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN

Gruß paff

P.S.
geh mal wieder zu www.windowsupdate.com
Dein Windows ist nicht ganz aktuell !
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 28.02.2004 um 20:06 Uhr von paff editiert.
Seitenanfang Seitenende
28.02.2004, 21:12
Member

Themenstarter

Beiträge: 462
#3 Noch ne dumme Anfänger Frage (in mehreren Teilen):
a) Vor dem "Fixen", soll ich da die Systemwiederherstellung deaktivieren?
b) muss das Ganze im abgesicherten Modus stattfinden?
c) soll ich anschließend Ad-aware und/oder Sbybot nochmals drüber scannen lassen? (Wie ist das bei den beiden überhaubt? Ist da prinzipiell der abgesicherte Modus angesagt oder nicht? ein Bekannter meinte mal, ich solle Norton deaktivieren, wenn Adaware scannt!?)
d) muss ich hinterher irgend etwas noch manuell entfernen? (hoffentlich nicht *unsicher bin*)

Tschuldigung für die Fragerei, bin halt noch unwissend, jedoch gewillt dazu zu lernen.

Und ein ganz großes Merci, für alle die sich hier das Wochenende um die Ohren schlagen um zu helfen.
__________
U can get it if u really want! (J.Cliff)
Seitenanfang Seitenende