Bekomm die Bösen logs net weg

[Unregistriert]

Moin moin! Hab da so 1 , 2 , 3 Probs die wohl teils schon länger vorhanden sind! Hab im abgesicherten Modus gescaned und 6 Böse Einträge gefunden und die auch gleich gefixed! Danach Antivir nochmal durchlaufen lassen und dieses hat nix gefunden! Im normalen Modus auch nochmal gescaned und die 6 gefixten sind wieder da!Zudem sacht mir die Auswertung das keine Frewall aktiv ist!Hab aber die normale Windowsfirewall an!

Hier mal mein logfile

Code:

Logfile of HijackThis v1.99.1
Scan saved at 04:47:07, on 04.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ  Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvftb32.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe
O4 - HKLM\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\RunServices: [start uploading] smsss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [MSN Messanger] msnmsng.exe
O4 - HKCU\..\RunServices: [start uploading] smsss.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Photo Express Calendar Checker.lnk = D:\Programme\Ulead Systems\Ulead Photo Express 4.0 Trial\CalCheck.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: http://www.chemical-records.co.uk
O15 - Trusted Zone: http://www.htfr.com
O15 - Trusted Zone: http://www.schallrausch.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108433828460
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7C8063E-044D-4E58-95E3-817294684093}: NameServer = 212.7.148.65 212.7.148.97
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

PS. Kann man eigentlich auch den Bericht von Antivir auswerten lassen irgendwo ?Hab da 23 Hinweise oder so! Da ich mein Laptop erst seit ca 5 Monaten habe bin noch relativer Leihe in solchen Sachen!

Danke schon mal im Vorraus !

[Ruby]

Guten Morgen @ Gast,

darf ich fragen wo du deutsch gelernt hast?
Du scheinst nicht nur ein totaler Leihe in Sachen Rechner zu sein.
Ich verzichte allerdings auf irgendwelche Versuche deinen Rechner zu retten.
Du hast einige Würmer mit Backdoor-Eigenschaften auf dem Rechner.
Das bedeutet, dass dein Rechner in fremder Hand ist.
Befolge bitte diese Anleitung, um dein System zu formatieren und neu aufzusetzen.

[Antony]

Mhhh...,

also wenn hier alle Benutzer derart abwertend antworten, so überdenke ich meinen Aufenthalt in diesem Forum nocheinmal gründlich !

Wie dem auch sei, gehöre vermutlich auch ich eher den wenig Wissenden in Sachen PC & Co an. Das ist mir jedoch gleich und erst recht gebe ich einen S..... auf solche unqualifizierten Kommentare. Andererseits respektiere ich dein Fachwissen und frage dich, woran zum Teufel erkennst du diese angeblich zahlreich vorhandenen Schädlinge in seinem logfile ???

Bitte um eine reife Antwort.

Gruß, masseter

[Ruby]

Hallo Masseter,

wir haben hier die Einträge:

O4 - HKLM\..\Run: [MSN Messanger] msnmsng.exe
O4 - HKLM\..\Run: [start uploading] smsss.exe

und erkennen darin den Wurm W32/Sdbot-PZ:
alias WORM_SDBOT.XN, alias Backdoor.Win32.SdBot.05.bd, der folgende Eigenschaften hat: legt Malware ab, lädt Code aus dem Internet herunter, reduziert die Systemsicherheit, installiert sich in der Registrierung, nutzt bekannte Schwachstellen aus, wird für DOS-Attacken verwendet.

W32/Sdbot-PZ ist ein Backdoor-Trojaner und ein Netzwerkwurm, der als Dienstprozess im Hintergrund läuft und unbefugten Fernzugriff auf den Computer mittels IRC-Kanälen ermöglicht. Er bleibt resident und wartet auf Befehle von remoten Anwendern. Wenn er die entsprechenden Befehle erhält, startet der Wurm mit einer Suche im Internet nach Netzwerkfreigaben mit einfachen Administrator-Kennwörtern. Er versucht, sich auf diese Freigaben zu kopieren. W32/Sdbot-PZ kann sich vor dem Task-Manager verbergen, indem er eine Kopie von Troj/NtRootK-F ablegt und den originalen Prozess verheimlicht.

W32/Sdbot-PZ kopiert sich als msnmsng.exe in den Windows-System- (oder -System32-Ordner unter MS Windows NT/2000/XP) und erstellt Registrierungseinträge, so dass der Trojaner beim Computerneustart aktiviert wird.

Weitere Information bitte dem Link entnehmen.

Dann haben wir W32/Rbot-AHG, alias WORM_RBOT.AHG, alias Backdoor.Win32.Rbot.fo, der folgende Eigenschaften hat: schaltet Antiviren-Anwendungen aus, ermöglicht Dritten den Zugriff auf den Computer, verändert Daten auf dem Computer, löscht Dateien vom Computer, stiehlt Daten. Der Wurm kopiert sich in eine Datei namens smsss.exe im Windows-Systemordner und erstellt Registrierungseinträge.

Neben diesen beiden bereits bekannten Würmern gibt es noch unbekannte malware auf dem System in Form der Datei:

C:\windows\system32\kalvftb32.exe

die möglicherweise hochgeladen werden sollte:

-> Upload malicious software

sowie Adware und ein daraus resultierendes Browser-Hijacking, erkennbar in diesen Einträgen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hzzp://google.icq.com/search/search_frame.php
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll

[Speedy]

Mhhh...,

1) also wenn hier alle Benutzer derart abwertend antworten, so überdenke ich meinen Aufenthalt in diesem Forum nocheinmal gründlich !

2) Wie dem auch sei, gehöre vermutlich auch ich eher den wenig Wissenden in Sachen PC & Co an.
3) Das ist mir jedoch gleich und erst recht gebe ich einen S..... auf solche unqualifizierten Kommentare.
4) Andererseits respektiere ich dein Fachwissen und frage dich, woran zum Teufel erkennst du diese angeblich zahlreich vorhandenen Schädlinge in seinem logfile ???

5) Bitte um eine reife Antwort.

Gruß, masseter

hi!
zu 1)

Zudem sacht mir die Auswertung das keine Frewall aktiv ist!Hab aber die normale Windowsfirewall an!

ist klar, das posting kam um 5:10 aber lesen sollte der user schon können, wir sind hier nicht im kindergarten, wo die tante alles 2 und 3x erzählen muss, ein wenig unterstützung sollte schon vom GAST auch kommen. Das die Windows-Firewall nicht erkannt wird, steht in jeder auswertung, wenn keine firewall eines anderen herstellers erkannt wird.
zu 2) wirklich, glaube ich nicht, sonst hättest du das logfile gecheckt, die malware gefunden und wärst zum selben entschluss gekommen.
zu 3) meinst du deinen eigenen ?
zu 4) diese frage geht durch, durch harte arbeit und erfahrung (ruby gehört mit sicherheit zu den besten supportern, und diese feststellung ist nicht nur auf das board hijackthis bezogen)
zu 5) also, die antwort war reif genug, wann zeigst du nun deine reife?