notebook vermüllt? hijack 1.99 benutz

[Unregistriert]

Ich benutze einen Toshiba Tecra A2 mit Centrino Technologie.
Als Webbrowser benutze ich den FIREFOX 1.0.
MSCONFIG zeigt mir dass der PC übermüllt ist.
Vorhin habe ich noch Spybot durchlaufen lassen, der einiges gefunden hatte. Alle Probleme habe ich gefixt.
MEIN PROBLEM: ist mein Notebook vermüllt? Wenn ja, was sollte ich machen?
Danke








Logfile of HijackThis v1.99.0
Scan saved at 19:12:38, on 09.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\nvsc32.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\System32\TFNF5.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchED\TouchED.Exe
C:\WINDOWS\LTSMMSG.exe
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\WINDOWS\System32\TPSBattM.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\winU32L.exe
C:\Programme\cFosSpeed\cFosSpeed.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft InfoChecker\ff.exe
C:\WINDOWS\System32\mssupdate.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Daniela\Eigene Dateien\Software\Firefox Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TouchED] C:\Programme\TOSHIBA\TouchED\TouchED.Exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] c:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Media service] msn64.exe
O4 - HKLM\..\Run: [NvCplScan] nvsc32.exe
O4 - HKLM\..\Run: [Bc6x8sB] C:\WINDOWS\spqeqw.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\mptoaepl.exe
O4 - HKLM\..\Run: [Win Update 32] winU32L.exe
O4 - HKLM\..\Run: [Start Uppings] mssupdate.exe
O4 - HKLM\..\Run: [Bc6x8ÏÔ@ÔÁß]*ú"ü‰üžC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\spqeqw.exe
O4 - HKLM\..\Run: [Bc6x8ÏÔÁß]*ú"ü‰üžigC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\spqeqw.exe
O4 - HKLM\..\Run: [Bc6x8ÏÔ@ÔÁß]*ú"ü‰¸uC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\spqeqw.exe
O4 - HKLM\..\Run: [¢‰¸u0–4C
}ïÁzî[8C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\spqeqw.exe
O4 - HKLM\..\Run: [cFosSpeed] C:\Programme\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Media service] msn64.exe
O4 - HKLM\..\RunServices: [NvCplScan] nvsc32.exe
O4 - HKLM\..\RunServices: [Win Update 32] winU32L.exe
O4 - HKLM\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKLM\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvCplScan] nvsc32.exe
O4 - HKCU\..\Run: [Start Uppings] mssupdate.exe
O4 - HKCU\..\Run: [FactFinder] C:\Programme\Microsoft InfoChecker\ff.exe /s
O4 - HKCU\..\RunServices: [Start Uppings] mssupdate.exe
O4 - HKCU\..\RunOnce: [NvCplScan] nvsc32.exe
O4 - Startup: OnlineCounter 2004-Autostart.lnk = C:\Programme\OnlineCounter 2004\OnlineCounter-Autostart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=file:///C:\Programme\TOSHIBA\Free Update Service\splash.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1076619418993
O17 - HKLM\System\CCS\Services\Tcpip\..\{857DC885-904E-4CCD-875D-3A1345827441}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ConfigFree Service - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Tmesrv3 - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe

[Speedy]

hi
bitte überprüfe die folgende(n) datei(en) mit dem Jotti onlinescan,

C:\Programme\Microsoft InfoChecker\ff.exe
C:\WINDOWS\System32\mssupdate.exe
C:\WINDOWS\System32\winU32L.exe
C:\WINDOWS\System32\nvsc32.exe

ergebnis hier posten.(sollte so aussehen)
Service load: 0% 100%
File: ibprocman.zip
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.44 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.66 seconds taken)
mks_vir No viruses found (0.36 seconds taken)
NOD32 No viruses found (0.48 seconds taken)
Norman Virus Control No viruses found (0.55 seconds taken)

[Speedy]

hi

aufgrund einer backdoor-infektion deines rechners will ich dir keine falschen hoffnungen machen und empfehle dir format:c

msn64.exeAdded by the SPYBOT.EV WORM!
nvsc32.exeAdded by a variant of the IRC.BOT TROJAN!

kompromittierung J.Malte und wikipedia

überprüfe deine persönlichen daten auf malwarebefall und sichere sie auf einem wechselmedium.
besorge dir alle für dein system benötigte treiber in der aktuellen version.
für windows xp sollte das sp2 bereitliegen.
eine antivirensoftware mit aktueller virenerkennungsdatei und eine firewall sollten jedenfalls auch auf einem wechselmedium vorbereitet sein.
ein alternativer browser (mozilla firefox) und mailprogramm (mozilla thunderbird) oder das Komplett-Paket (Mozilla Suite) kann vorbereitet werden,
vorteil: man kann die sicherheitseinstellungen vor der ersten internetverbindung überprüfen und korrigieren.
windows-dienste sicher konfigurieren und spybot s&d sollten hier auch nicht fehlen.
(links zu den genannten programmen findest du hier auf meiner HP Security-Tools)

der rechner soll vom internet getrennt sein !!
überlege dir, welche passwörter du verwenden möchtest.
anleitung zur (neu)Installation von windows-xp
setze nach erfolgreicher installation von winxp sofort windows sp2 auf.
ein benutzerkonto ohne administratoren-rechte anlegen ( mit diesem wird gesurft)
internetexplorer --> einstellungen unter extras -> internetoptionen -> sicherheit-> stufe anpassen auf hoch stellen gegebenenfalls kontrollieren, auf automatisch sollte nichts stehen.
outlook (express) unter extras -> optionen -> sicherheit -> nur text aktivieren
installiere nun dein antivirenprogramm
installiere nun deine personalfirewall (vorher muss allerdings die firewall von winxpsp2 deaktiviert werden)
installiere nun deinen browser und dein emailprogramm
antivrienprogramm, firewall, browser und mailprogramm konfigurieren
so, nun kannst du die verbindung zum internet herstellen, zuerst ein update deiner antiviren-software durchführen, dann windows-update.
überprüfe nun deine einstellungen des browsers und des mailprogramms über heise.de
bevor du nun deine persönlichen daten vom wechselmedium wieder auf die festplatte zurückspielst, die dateien mit deinem antivirenprogramm überprüfen, ob wirklich keine malware vorhanden ist.
nun kannst du deine benötigte software installieren. und in zukunft, programme nur vom hersteller oder aus sicherer quelle (z.b. von pc-magazinen)
verwenden, kein filesharing betreiben, keine dubiosen internetseiten besuchen und keine mailanhänge ohne vorherige ankündigung öffnen. windows-betriebssystem,-programme und die restliche sicherheitssoftware immer am aktuellen stand halten, wöchentlich auf mögliche update überprüfen.

[toshtec]

Warum wird hier soviel Panik gemacht. Das sind doch keine Viren. Kann mich mal jemand aufklären? Was können die anrichten? Wie sind die rein gekommen?

Diese Datei „C:\Programme\Microsoft InfoChecker\ff.exe“ ist OK. Ist ein ENCARTA Projekt.

Code:

File: mssupdate.exe Status: 
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) 
Packers detected: 
PE_PATCH.MORPHINE, MORPHINE, PE_PATCH, MEWBUNDLE, MEW
  AntiVir 
No viruses found (0.18 seconds taken)
Avast 
No viruses found (1.51 seconds taken)
BitDefender 
No viruses found (0.92 seconds taken)
ClamAV 
Trojan.Mybot-581 (0.41 seconds taken)
Dr.Web 
Win32.HLLW.MyBot (0.53 seconds taken)
F-Prot Antivirus 
No viruses found (0.23 seconds taken)
Kaspersky Anti-Virus 
Backdoor.Win32.Rbot.gen (1.45 seconds taken)
mks_vir 
Trojan.Rbot.Gen (0.20 seconds taken)
NOD32 
probably unknown NewHeur_PE (probable variant) (1.44 seconds taken)
Norman Virus Control 
No viruses found (5.01 seconds taken)

Code:

File: winU32L.exe Status: 
INFECTED/MALWARE
Packers detected: 
FSG
  AntiVir 
No viruses found (0.64 seconds taken)
Avast 
Win32:SpyBot-A1175 (3.01 seconds taken)
BitDefender 
No viruses found (0.80 seconds taken)
ClamAV 
Trojan.Mybot.gen-171 (0.40 seconds taken)
Dr.Web 
Win32.HLLW.MyBot.based (0.68 seconds taken)
F-Prot Antivirus 
W32/Spybot.CUE (0.06 seconds taken)
Kaspersky Anti-Virus 
Backdoor.Win32.Rbot.gen (1.59 seconds taken)
mks_vir 
Win32 (probable variant) (0.78 seconds taken)
NOD32 
Win32/Rbot.BLE (1.35 seconds taken)
Norman Virus Control 
Sandbox: W32/Backdoor; [ General information ]

* File might be compressed.
* **Locates window "NULL [class mIRC]" on desktop.
* File length: 109568 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\winU32L.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates value "Win Update 32"="winU32L.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "Win Update 32"="winU32L.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates key "HKCU\Software\Microsoft\OLE".
* Sets value "Win Update 32"="winU32L.exe" in key "HKCU\Software\Microsoft\OLE".

[ Network services ]
* Looks for an Internet connection.
* Connects to "g0tg4m3.game2max.net" on port 6667 (TCP).
* Connects to IRC server.
* IRC: Uses nickname NOR, 80340.
* IRC: Uses username ezkieya.
* IRC: Joins channel #fcuk with password fcukd.
* IRC: Sets the usermode for user NOR, 80340 to +x.

[ Process/window information ]
* Creates a mutex fcuk.
* Will automatically restart after boot (I'll be back...). (11.22 seconds taken)

Code:

File: nvsc32.exe Status: 
INFECTED/MALWARE
Packers detected: 
PE_PATCH, MEWBUNDLE, MEW
  AntiVir 
No viruses found (0.15 seconds taken)
Avast 
No viruses found (1.51 seconds taken)
BitDefender 
No viruses found (0.94 seconds taken)
ClamAV 
Trojan.Wootbot-137 (0.41 seconds taken)
Dr.Web 
Win32.HLLW.ForBot (0.54 seconds taken)
F-Prot Antivirus 
No viruses found (0.14 seconds taken)
Kaspersky Anti-Virus 
Backdoor.Win32.Wootbot.am (0.71 seconds taken)
mks_vir 
No viruses found (0.22 seconds taken)
NOD32 
Win32/Wootbot.NEX (1.44 seconds taken)
Norman Virus Control 
No viruses found (5.49 seconds taken)

[Speedy]

hi

bitte die beiden links zu malte bzw. wikipedia durchlesen

es gibt natürlich auch noch andere informationsquellen
http://www.google.de
http://www.wienerzeitung.at/aktuell/...us/default.htm
http://www.trojaner-info.de/