Hilfe! Spyware? habe HiJackThis Logfile!

[saufich]

Hy,
habe ein großes Problem! Jedes mal wenn ich meinen Computer starte, ladet es mir autormatisch ein paar Programme in den Autostart! Ausserdem laufen noch welche im Hintergrunde! Einige habe ich schon mit Spybot S & D wegbekommen, manche mit Webroot. Aber 4 lassen sich nicht entfernen, da immer die meldung kommt das sie gerade verwendet werden! Aber im Task-Manager kann ich nichts finden! Ich habe gerade ein Logfile mit HiJackthis erstellt. Hoffe ihr könnt mir helfen!

Code:

 Logfile of HijackThis v1.99.0
Scan saved at 17:19:04, on 23.02.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\WINDOWS\System32\lah.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\soundmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Roli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=Explorer.exe soundmon.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Norton Personal Firewall] lah.exe
O4 - HKLM\..\Run: [antiware] C:\windows\system32\elitenuk32.exe
O4 - HKLM\..\RunServices: [Norton Personal Firewall] lah.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\Run: [Norton Personal Firewall] lah.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E2EAFAE-4D3E-4F96-96E5-2B612CF70B55}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{490C4037-0B1D-494D-A42D-CE3DD68DAFC0}: NameServer = 195.3.96.68 213.33.98.136
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E2EAFAE-4D3E-4F96-96E5-2B612CF70B55}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E2EAFAE-4D3E-4F96-96E5-2B612CF70B55}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich kann damit nicht wirklich viel anfangen! Könnt ihr mir ein paar Tipps geben? Habe meinen PC auch schon gelöscht! Aber danach waren die gleichen Progs wieder drauf! Weiss nicht woher die kommen!

MFG
saufich

[Speedy]

hi,
einiges kann ich erledigen, mach es aber äußerst ungern, da damit viel zeit für hilfe verlorengeht.
logfiles immer so posten

HijackThis niemals aus einem temp. ordner (C:\-------\temp\----- ausführen, das programm so anlegen

C:\Programme\HijackThis\HijackThis.exe

dann klappt es auch mit dem backup

Platform: Windows XP XXX (WinNT X.XX.XXXX)
MSIE: Internet Explorer v6.00 XXX (X.XX.XXXX.XXXX)

windows-update durchführen, entweder direkt von hier, oder cd bestellen bei Microsoft oder einer heft-cd

bitte überprüfe die folgende(n) datei(en) mit dem Jotti onlinescan,

C:\WINDOWS\System32\lah.exe
C:\WINDOWS\System32\soundmon.exe
C:\windows\system32\elitenuk32.exe

ergebnis hier posten.(sollte so aussehen)
Service load: 0% 100%
File: ibprocman.zip
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)
Packers detected: UPX

AntiVir No viruses found (0.17 seconds taken)
Avast No viruses found (1.51 seconds taken)
BitDefender No viruses found (0.44 seconds taken)
ClamAV No viruses found (0.37 seconds taken)
Dr.Web No viruses found (0.54 seconds taken)
F-Prot Antivirus No viruses found (0.08 seconds taken)
Kaspersky Anti-Virus No viruses found (0.66 seconds taken)
mks_vir No viruses found (0.36 seconds taken)
NOD32 No viruses found (0.48 seconds taken)
Norman Virus Control No viruses found (0.55 seconds taken)

[saufich]

Hier die Scans!

File: lah.exe
Status: 0 % 100 %
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
PE_PATCH, MEWBUNDLE, MEW

AntiVir Worm/Rbot.AAN (0.37 seconds taken)
Avast No viruses found (1.52 seconds taken)
AVG Antivirus No viruses found (0.54 seconds taken)
BitDefender Backdoor.RBot.23193664 (0.53 seconds taken)
ClamAV No viruses found (0.59 seconds taken)
Dr.Web Win32.HLLW.MyBot (0.86 seconds taken)
F-Prot Antivirus No viruses found (0.66 seconds taken)
Fortinet No viruses found (0.44 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (1.07 seconds taken)
mks_vir Trojan.Rbot.Gen (0.21 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (1.59 seconds aken)
Norman Virus Control SDBot.CQL (0.22 seconds taken)


Service load: 0% 100%
File: soundmon.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH, MEWBUNDLE, MEW

AntiVir Worm/RBot.63812 (1.64 seconds taken)
Avast No viruses found (7.54 seconds taken)
AVG Antivirus IRC/BackDoor.SdBot.133.BF (3.25 seconds taken)
BitDefender Backdoor.RBot.AJ (2.72 seconds taken)
ClamAV Trojan.Mybot-1022 (2.35 seconds taken)
Dr.Web Win32.HLLW.MyBot (1.14 seconds taken)
F-Prot Antivirus No viruses found (0.75 seconds taken)
Fortinet No viruses found (0.44 seconds taken)
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen (1.07 seconds taken)
mks_vir Trojan.Rbot.Gen (0.21 seconds taken)
NOD32 probably unknown NewHeur_PE (probable variant) (1.48 seconds taken)
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* **Locates window "NULL [class mIRC]" on desktop.
* File length: 63812 bytes.

[ Changes to filesystem ]
* Creates file C:\WINDOWS\SYSTEM\soundmon.exe.
* Deletes file 1.

[ Changes to registry ]
* Creates key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
* Sets value "Shell"="Explorer.exe soundmon.exe" in key "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon".
* Sets value "Flags"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1001"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1004"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1200"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1201"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1206"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1400"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1402"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1405"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1406"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1407"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1601"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3".
* Sets value "1604"="" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3". (45.40 seconds taken)

Der Ordner bzw. Datei existiert/en nicht!:
C:\windows\system32\elitenuk32.exe
Bei mir gibts nur einen Ordner:
C:\WINDOWS\system32\
aber dort befindet sich nicht die Datei (elitenuk32.exe)!

Danke für deine Hilfe! Die Windows Updates werden gerade downgeloadet und installiert!

MFG
saufich

[Speedy]

hi

zurück, es hat keinen sinn, dein rechner ist kompromittiert !
aufgrund zweier backdoor-infektionen deines rechners will ich dir keine falschen hoffnungen machen und empfehle dir format:c


kompromittierung J.Malte und wikipedia

überprüfe deine persönlichen daten auf malwarebefall und sichere sie auf einem wechselmedium.
besorge dir alle für dein system benötigte treiber in der aktuellen version.
für windows xp sollte das sp2 bereitliegen.
eine antivirensoftware mit aktueller virenerkennungsdatei und eine firewall sollten jedenfalls auch auf einem wechselmedium vorbereitet sein.
ein alternativer browser (mozilla firefox) und mailprogramm (mozilla thunderbird) oder das Komplett-Paket (Mozilla Suite) kann vorbereitet werden,
vorteil: man kann die sicherheitseinstellungen vor der ersten internetverbindung überprüfen und korrigieren.
windows-dienste sicher konfigurieren und spybot s&d sollten hier auch nicht fehlen.
(links zu den genannten programmen findest du hier auf meiner HP Security-Tools)

der rechner soll vom internet getrennt sein !!
überlege dir, welche passwörter du verwenden möchtest.
anleitung zur (neu)Installation von windows-xp
setze nach erfolgreicher installation von winxp sofort windows sp2 auf.
ein benutzerkonto ohne administratoren-rechte anlegen ( mit diesem wird gesurft)
internetexplorer --> einstellungen unter extras -> internetoptionen -> sicherheit-> stufe anpassen auf hoch stellen gegebenenfalls kontrollieren, auf automatisch sollte nichts stehen.
outlook (express) unter extras -> optionen -> sicherheit -> nur text aktivieren
installiere nun dein antivirenprogramm
installiere nun deine personalfirewall (vorher muss allerdings die firewall von winxpsp2 deaktiviert werden)
installiere nun deinen browser und dein emailprogramm
antivrienprogramm, firewall, browser und mailprogramm konfigurieren
so, nun kannst du die verbindung zum internet herstellen, zuerst ein update deiner antiviren-software durchführen, dann windows-update.
überprüfe nun deine einstellungen des browsers und des mailprogramms über heise.de
bevor du nun deine persönlichen daten vom wechselmedium wieder auf die festplatte zurückspielst, die dateien mit deinem antivirenprogramm überprüfen, ob wirklich keine malware vorhanden ist.
nun kannst du deine benötigte software installieren. und in zukunft, programme nur vom hersteller oder aus sicherer quelle (z.b. von pc-magazinen)
verwenden, kein filesharing betreiben, keine dubiosen internetseiten besuchen und keine mailanhänge ohne vorherige ankündigung öffnen. windows-betriebssystem,-programme und die restliche sicherheitssoftware immer am aktuellen stand halten, wöchentlich auf mögliche update überprüfen.

[saufich]

Ok, dann wird der PC wieder formatiert!
Dann bedanke ich mich noch recht herzlich für die Hilfe! Werde warscheinlich nach dem formatieren nochmal vorbei schauen und bescheid sagen ob alles geklappt hat!
Vielen dank!

eine Frage hätte ich da noch, können diese Backdoor-infektionen auch auf eine externe USB-Festplatte überspringen???

MFG
saufich

[Speedy]

hi, ja
wenn eine verseuchte datei dort gespeichert wird, ist sie auch am usb stick.
bei format:c das dateisystem ändern, dann wird zu 100% die festplatte formatiert