kennt sich jemand aus => winfixer => logfile=> hijackthis

Dieses Thema kennt sich jemand aus => winfixer => logfile=> hijackthis im Forum "Viren, Trojaner, Spyware etc." wurde erstellt von Helfenistgut, 11. Sep. 2005.

Thema: kennt sich jemand aus => winfixer => logfile=> hijackthis Welche muss ich loeschen, bitte nur Leute die sich auskennen ;) Logfile of HijackThis v1.99.1 Scan saved at...

  1. Welche muss ich loeschen, bitte nur Leute die sich auskennen ;)

    Logfile of HijackThis v1.99.1
    Scan saved at 11:44:44, on 11.09.2005
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\QuickTime\qttask.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    C:\Programme\Winamp\winampa.exe
    C:\Programme\winupdates\winupdates.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\wt\updater\wcmdmgr.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\Winamp\Winamp.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Feanor\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vnurgmqgtqezjc.com/4IPh11v4CjCj3eVC4OQtqThIP70TNwXGX5f5X3O7dERNBWB6CK2hz0hwMGl2Nz9B.jpg
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshgnqf.dll
    O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsx1A.dll
    O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
    O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
    O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
    O4 - HKLM\..\Run: [richup] C:\WINDOWS\system32\richup.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
    O4 - HKLM\..\Run: [LaunchList] C:\Programme\Pinnacle\Studio 9\LaunchList.exe
    O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
    O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
    O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
    O4 - HKCU\..\Run: [SSS6_Suite] C:\Programme\Steganos Security Suite 6\sss.exe /booting
    O4 - HKCU\..\Run: [SSS6_SAFE] C:\Programme\Steganos Security Suite 6\safe.exe /booting
    O4 - HKCU\..\Run: [SSS6_SPM] C:\Programme\Steganos Security Suite 6\spm.exe /booting
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} (shizmoo Class) - http://kungfuchess.com/activex/web665.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F5987B-D071-43F0-A9C2-4B0195231F5D}: NameServer = 217.237.150.33 217.237.150.141
    O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
    O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


    danke fuer die hilfe

    mfg
     
  2. Also meine bescheidene Meinung wäre hier neuinstallation.
    Hier ist offensichtlich ein GAOBOT vertreten, dieser hat backdoorfunktionen.
    allerdings bin ich nicht sicher ob es ein backdoor ist.
    deshalb lass die datei C:\Programme\winupdates\winupdates.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

    das system ist/ btw wäre dadurch kompromittiert; es ist/wäre nicht mehr vertrauenswürdig.
    neuaufsetzen des systems und absichern (vor der ersten i-net verbindung) wäre besser. (ich bin mir allerdings nicht sicher wie das in diesem forum gehandhabt wird - ich kenne jedenfalls foren wo bei einer solchen durchseuchung nur eine neuinstallation empfohlen wird)

    am besten wäre es, das script von www.ntsvcfg.de runterzuladen (auf diskette) und dann vor der ersten windowsbenutzung zu verwenden. dann kann man gemütlich die firewall installieren und auf sp2 updaten.
     
  3. komplette betriebssystem neuinstallation?!?!?!?!
     
  4. Naja ich bin jedenfalls der meinung, dass das die einzige möglichkeit ist das system sauber zu haben. wie die hier anwesenden helfer denken weiß ich nicht.
    les dir mal das mit kompromittiert durch. du kannst dir ja nie sicher sein, dass über den backdoor jemand deine sysfiles ersetzt hat über eine bisher unbekannte art und weise.
    und eines kannst du dir sicher sein; wenn ein backdoor in dein system kommt oder kam dann kann btw konnte es auch jeder halbwegs erfahrene hacker. würdest du so ein system behalten wollen? ich jedenfalls nicht.... ich würde mich nicht mal mehr halbwegs sicher fühlen (sicher fühlen kann man sich eh nie denn die 100% sicherheit existiert ja net..)
     
  5. aber dafuer muss ich nicht formatieren
    oder wird das ebenfalls vorausgesetzt?

    //edit :
    es gibt gar keine windowsupdate.exe bei mir, auch nicht versteckt oder so... :eek:
     
  6. hab die doch gefunden, war im falschen ordner
    also statt winupdate windowsupdate
    und schau/t dir/euch das ergbenis an

    Datei: winupdates.exe
    Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme: -

    AntiVir Worm/Alcra.B gefunden
    ArcaVir Worm.Vb.An gefunden
    Avast Win32:Vibpack gefunden
    AVG Antivirus Worm/VB.CC gefunden
    BitDefender Win32.Worm.VB.AN gefunden
    ClamAV Worm.Alcan.D gefunden
    Dr.Web Trojan.FakeSetup gefunden
    F-Prot Antivirus security risk or a backdoor program gefunden
    Fortinet W32/VB.AN-mm gefunden
    Kaspersky Anti-Virus Worm.Win32.VB.an gefunden
    NOD32 Win32/VB.D gefunden
    Norman Virus Control W32/Alcra.B gefunden
    UNA Backdoor.VB gefunden
    VBA32 Worm.Win32.VB.an gefunden
     
  7. hp
    hp
    sorry, aber hijacktis zeigt da was anderes auf ... übrigens kannst du hier www.hijackthis.de dein log selber auswerten lassen, dann siehst du die infizierten dinger ... die winupdates.exe ist ein wurm mit backdoor funktion, die es in mehreren varianten gibt. trendmicro führt 4 varianten auf. ergebnis mit lösungsvorschlag hier  http://www.trendmicro.com/vinfo/vir...p;virus=winupdates.exe&alt=winupdates.exe
    zur richedtr.dll findest du hier http://www.file.net/prozess/richedtr.dll.html ein paar infos ...

    zur richup.exe gibts hier http://www.bleepingcomputer.com/startups/richup.exe-11079.html was zu lesen ...

    und Chris15 hat nicht unrecht mit dem vorschlag neu zu installieren ... sobald du ein programm drauf hast, daß daten an fremde kisten sendet oder eine backdoor öffnet sollte man das beheben. und das geht mit neuinstallieren am sichersten. nur nutzt das nicht viel, wenn du nach dem installieren dieselbe lücken offenlässt ... auch solltest du mal überlegen, wo und wie du an die dinger geraten bist. also mal dein surfverhalten prüfen ...

    greetz

    hugo
     
  8. du hast mir den stichpunkt gegeben hugo
    wie komm ich an so einen sche**
    ich besuch nur foren und halbwegs bekannte pages...
    wie bekomm ich denn so backdoor files
    immer ich... :'(

    //edit : wie koennt ich relativ sicher formatieren?
     
  9. hp
    hp
    der wurm sollte eigentlich kein problem darstellen, wenn du alle sicherheitsupdates von ms eingespielt hast. da gibts ja die patche dazu, siehe lösung bei trendmicro ... also schalt mal den automatischen update ein und lass die patche einspielen. die anderen sachen sind nicht so tragisch, browser helper objects (bho) gibts wie sand am meer, man kann sie inzwischen gut bekämpfen, oder nimm dir firefox oder einen anderen alternativen browser, oder aber lerne mal mit dem ie umzugehn, der bietet inzwischen eine bho-verwaltung an, da kannst du die dinger wieder entfernen ...

    greetz

    hugo
     
  10. also ist euer standpunkt ganz klar formatieren und neuinstallation?
    und zudem, kann ich die updates und patches von ms schon vorher auf ne cd ziehen?
     
Die Seite wird geladen...

kennt sich jemand aus => winfixer => logfile=> hijackthis - Ähnliche Themen

Forum Datum
Wer kennt sich mit Freiwetten aus? Sonstiges rund ums Internet 5. Okt. 2016
Windows 7 Sound einstellungen haben sich resettet/ Pc erkennt Lautsprecher nicht mehr Windows 7 Forum 13. Dez. 2014
Wer kennt sich mit Samsung SW Update aus? Software: Empfehlungen, Gesuche & Problemlösungen 24. Nov. 2014
wer kennt sich hiermit aus Sonstiges rund um den PC & Kaufberatung 11. Jan. 2011
Kennt sich jemand aus mit servergespeicherten Profilen? Windows XP Forum 7. Juni 2010