Trojanerverdacht!?

#0
03.03.2004, 11:32
...neu hier

Beiträge: 6
#1 Hallo!

Also erstmal ein dickes Kompliment an dieses Forum, hab mir schonmal einen Überblick verschafft.

Trotzdem werde ich das Gefühl nicht los daß auf meinem Rechner etwas nicht stimmt:

1. Die Downloadgeschwindigkeiten und Serververbindungen sind seit kurzem wirklich miserabel

2. Ich kann Norton AV nicht mehr updaten, obwohl das Aktualisierungsdatum erst am 25.09.2004 abläuft, ebenso CWS-Shredder und mwavscan

3. Die rundll32 wird ständig unter den laufenden prozessen angezeigt, das ist doch nicht normal oder? Hab außerdem ne svchost.exe die 15 - 16.000kb beansprucht, und irgendwann geht gar nichts mehr.

AVG findet übrigens nichts...

Im Anschluß mal meine logfile von hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 11:09:52, on 03.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\System\wininet.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\austin_powers\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A35692DF-035F-482F-83E6-BCF7E5EE35C3}: NameServer = 62.225.252.16 194.25.2.129

Sieht irgendwie auch kürzer aus als andere hier im forum...

Schonmal vielen Dank im Voraus!
Seitenanfang Seitenende
03.03.2004, 12:41
Moderator

Beiträge: 7805
#2 Das solltest du "fix"en:

O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wininet.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

Wenn es dann noch nicht funktionieren sollte, fix =17 auch noch.

und du solltest dich fuer ein AV-Waechter entscheiden. Entweder fuer Norton oder AVG.
Es waeere nett, wenn du mir diese Datei schicken koenntest ( Adresse siehe mein Profil, oder virus@protecus.de):
C:\WINDOWS\System\wininet.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.03.2004, 13:01
...neu hier

Themenstarter

Beiträge: 6
#3 Danke für die schnelle Antwort!

War ja auch nur eine Notlösung da Norton wie gesagt nicht mehr lief!
Hab mich gerade wieder für Norton entschieden, es läuft wieder! Konnte nur nicht updaten etc. da meine Systemzeit total verstellt war.

Dasselbe Problem wars wohl auch bei mwavscan, hat mir auch direkt die wininet als befallen angezeigt (TrojanClicker.Win32.Small.k) und gelöscht. Speichert es die Datei irgendwo ab? Dann kann ich sie dir noch schicken....

Werd nochmal Neustart machen und dann das Ergebnis veröffentlichen.
Seitenanfang Seitenende
03.03.2004, 14:02
Moderator

Beiträge: 7805
#4 Nein, diese Version loescht "nur", ist aber auch nicht so wichtig, da du ihn ja eh los bist und weisst, was es war.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.03.2004, 14:12
...neu hier

Themenstarter

Beiträge: 6
#5 Also isgesamt hat er nach dem fixen 19 (!!!!) Viren gefunden, was macht das programm denn mit denen die es umbenennt (portalordner von Norton)? Sollte ich die noch Löschen?

Die svchost.ese hat jedoch immer noch 15.000 im Speicher, ist das normal? Daß mehrere drinstehen können wußte ich ja...

Ansonsten schonmal vielen Dank Raman!

MfG aus der Lederstadt, Gregor

P.S.: hier nochmal das "gefixte" log, die 17 hats wieder eingetragen..

Logfile of HijackThis v1.97.7
Scan saved at 14:12:02, on 03.03.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton Personal Firewall\ccPxySvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\austin_powers\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.n-tv.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38049.1082060185
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A35692DF-035F-482F-83E6-BCF7E5EE35C3}: NameServer = 62.225.252.16 194.25.2.129
Seitenanfang Seitenende
03.03.2004, 14:47
Moderator

Beiträge: 7805
#6 Wenn jetzt alles wieder laeuft( alle deine Programme mal durchtesten), kannst du sie problemlos loeschen lassen. Die Groesse der svchost.exe Dateien im Speicher kann durchaus unterschiedlich sein, bei mir geht es bis 21.xxx Kb.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: