kennt sich jemand aus => winfixer => logfile=> hijackthis

Welche muss ich loeschen, bitte nur Leute die sich auskennen

Logfile of HijackThis v1.99.1
Scan saved at 11:44:44, on 11.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\winupdates\winupdates.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\wt\updater\wcmdmgr.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Winamp\Winamp.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Feanor\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.vnurgmqgtqezjc.com/4IPh11v4CjCj3eVC4OQtqThIP70TNwXGX5f5X3O7dERNBWB6CK2hz0hwMGl2Nz9B.jpg
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_internet.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PicShow Class - {4487598C-2EC7-43A2-870E-6D8D720FDD9F} - C:\WINDOWS\system32\pkshgnqf.dll
O2 - BHO: ohb - {9ADE0443-2AB2-4B23-A3F8-AC520773DE12} - C:\WINDOWS\system32\nsx1A.dll
O2 - BHO: RichEditor Class - {F79A2C4B-8776-4ED7-8B2F-4786A4A3500A} - C:\WINDOWS\system32\richedtr.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] C:\Programme\QuickTime\qttask.exe -atboottime
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [richup] C:\WINDOWS\system32\richup.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LaunchList] C:\Programme\Pinnacle\Studio 9\LaunchList.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKCU\..\Run: [SSS6_Suite] C:\Programme\Steganos Security Suite 6\sss.exe /booting
O4 - HKCU\..\Run: [SSS6_SAFE] C:\Programme\Steganos Security Suite 6\safe.exe /booting
O4 - HKCU\..\Run: [SSS6_SPM] C:\Programme\Steganos Security Suite 6\spm.exe /booting
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pshower] C:\WINDOWS\system32\pshwr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra->Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {58172624-85DD-4482-9E64-02ADCA637E96} (shizmoo Class) - http://kungfuchess.com/activex/web665.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_11110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6F5987B-D071-43F0-A9C2-4B0195231F5D}: NameServer = 217.237.150.33 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


danke fuer die hilfe

mfg

Also meine bescheidene Meinung wäre hier neuinstallation.
Hier ist offensichtlich ein GAOBOT vertreten, dieser hat backdoorfunktionen.
allerdings bin ich nicht sicher ob es ein backdoor ist.
deshalb lass die datei C:\Programme\winupdates\winupdates.exe bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis.

das system ist/ btw wäre dadurch kompromittiert; es ist/wäre nicht mehr vertrauenswürdig.
neuaufsetzen des systems und absichern (vor der ersten i-net verbindung) wäre besser. (ich bin mir allerdings nicht sicher wie das in diesem forum gehandhabt wird - ich kenne jedenfalls foren wo bei einer solchen durchseuchung nur eine neuinstallation empfohlen wird)

am besten wäre es, das script von www.ntsvcfg.de runterzuladen (auf diskette) und dann vor der ersten windowsbenutzung zu verwenden. dann kann man gemütlich die firewall installieren und auf sp2 updaten.

komplette betriebssystem neuinstallation?!?!?!?!

Naja ich bin jedenfalls der meinung, dass das die einzige möglichkeit ist das system sauber zu haben. wie die hier anwesenden helfer denken weiß ich nicht.
les dir mal das mit kompromittiert durch. du kannst dir ja nie sicher sein, dass über den backdoor jemand deine sysfiles ersetzt hat über eine bisher unbekannte art und weise.
und eines kannst du dir sicher sein; wenn ein backdoor in dein system kommt oder kam dann kann btw konnte es auch jeder halbwegs erfahrene hacker. würdest du so ein system behalten wollen? ich jedenfalls nicht.... ich würde mich nicht mal mehr halbwegs sicher fühlen (sicher fühlen kann man sich eh nie denn die 100% sicherheit existiert ja net..)

aber dafuer muss ich nicht formatieren
oder wird das ebenfalls vorausgesetzt?

//edit :
es gibt gar keine windowsupdate.exe bei mir, auch nicht versteckt oder so...

hab die doch gefunden, war im falschen ordner
also statt winupdate windowsupdate
und schau/t dir/euch das ergbenis an

Datei: winupdates.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Worm/Alcra.B gefunden
ArcaVir Worm.Vb.An gefunden
Avast Win32:Vibpack gefunden
AVG Antivirus Worm/VB.CC gefunden
BitDefender Win32.Worm.VB.AN gefunden
ClamAV Worm.Alcan.D gefunden
Dr.Web Trojan.FakeSetup gefunden
F-Prot Antivirus security risk or a backdoor program gefunden
Fortinet W32/VB.AN-mm gefunden
Kaspersky Anti-Virus Worm.Win32.VB.an gefunden
NOD32 Win32/VB.D gefunden
Norman Virus Control W32/Alcra.B gefunden
UNA Backdoor.VB gefunden
VBA32 Worm.Win32.VB.an gefunden

sorry, aber hijacktis zeigt da was anderes auf ... übrigens kannst du hier www.hijackthis.de dein log selber auswerten lassen, dann siehst du die infizierten dinger ... die winupdates.exe ist ein wurm mit backdoor funktion, die es in mehreren varianten gibt. trendmicro führt 4 varianten auf. ergebnis mit lösungsvorschlag hier  http://www.trendmicro.com/vinfo/vir...p;virus=winupdates.exe&alt=winupdates.exe
zur richedtr.dll findest du hier http://www.file.net/prozess/richedtr.dll.html ein paar infos ...

zur richup.exe gibts hier http://www.bleepingcomputer.com/startups/richup.exe-11079.html was zu lesen ...

und Chris15 hat nicht unrecht mit dem vorschlag neu zu installieren ... sobald du ein programm drauf hast, daß daten an fremde kisten sendet oder eine backdoor öffnet sollte man das beheben. und das geht mit neuinstallieren am sichersten. nur nutzt das nicht viel, wenn du nach dem installieren dieselbe lücken offenlässt ... auch solltest du mal überlegen, wo und wie du an die dinger geraten bist. also mal dein surfverhalten prüfen ...

greetz

hugo

du hast mir den stichpunkt gegeben hugo
wie komm ich an so einen sche**
ich besuch nur foren und halbwegs bekannte pages...
wie bekomm ich denn so backdoor files
immer ich... :'(

//edit : wie koennt ich relativ sicher formatieren?

der wurm sollte eigentlich kein problem darstellen, wenn du alle sicherheitsupdates von ms eingespielt hast. da gibts ja die patche dazu, siehe lösung bei trendmicro ... also schalt mal den automatischen update ein und lass die patche einspielen. die anderen sachen sind nicht so tragisch, browser helper objects (bho) gibts wie sand am meer, man kann sie inzwischen gut bekämpfen, oder nimm dir firefox oder einen anderen alternativen browser, oder aber lerne mal mit dem ie umzugehn, der bietet inzwischen eine bho-verwaltung an, da kannst du die dinger wieder entfernen ...

greetz

hugo

also ist euer standpunkt ganz klar formatieren und neuinstallation?
und zudem, kann ich die updates und patches von ms schon vorher auf ne cd ziehen?

http://www.wintotal.de/Artikel/winxpsp2cd/winxpsp2cd.php lesen, vielleicht baust du dir ja eine sp2 integrierte xp-cd, die patche kannst du ja online einspielen lassen, voraussetztung ist aber, daß du die fw von sp2 aktiviert hast ...

greetz

hugo

ich wuerd gern wissen wo die gefahren wirklich liegen
was koennte eine hacker mit dieser backdoor datei anfangen
weil ich muesste bis morgen oder uebermorgen mit dem formatieren warten
ich muss noch alles sichern brennen kopieren etc.

Servus
Zieh mal den Netzwerkstecker wenn du ans Sichern der Dateien gehen willst.
Suche alle wichtige Daten (z.B. Word Dokumente,Ordner,Bilder,Exel Tabellen,Grafiken etc..) zusammen, packe sie in einen Ordner.
Nun installierst du falls noch_nicht_geschehen, Anti Vir, Adaware, Spybot Search & Detroy.
Überprüfe mit Anti Vir NUR den Inhalt des Ordners mit der Sicherung der Daten.
bei Adaware gilt das selbe wie bei Anti Vir
bei Spybot ebenfalls
falls verseuchte Dateien in dem Ordner sind, lösche ! die Dateien die verseucht sind oder versuche sie zu reparieren. Falls das Reparieren fehl schlägt und die Dateien unbrauchbar oder verseucht sind, lösche sie.

Zur Neuinstallation:
Formatiere die Festplatte
Partitioniere sie neu ( ich empfehle: einmal Partition für Daten, eine für Windows und Programme und eine vlt. für Downloads und die Temps der Downloads)
Installiere neu
Installiere dir den deiner Meinung nach besten Anti Virus Scanner mit Auto Update Funktion
Jetzt gehst du auf :
http://windowsupdate.microsoft.com und lädst dir die aktuellen Updates für dein Betriebssystem herunter und installierst diese.
Aktiviere Automatische Updates bei deinem Betriebssystem.
Nun installierst du:
Adaware (1x wöchentlich laufen lassen und immer aktuell halten) + Spybot Search and Detroy (1 x wöchentlich laufen lassen und immer aktuell halten) und falls du nicht mit einem Router ins Netz gehst und dieser keine integrierte Firewall hat, installiere dir die deiner Meinung nach beste Personal bzw. Desktop Firewall.
Falls du bereit bist ein paar Euronen für Sicherheit auszugeben, kaufe dir das Programm Spyware Doctor als zusätzliche Ergänzung zu Adaware und Spybot.

Bei Fragen melde dich wieder


### Zu den Gefahren ###
Sobald du den Netzwerkstecker ziehst wird nichts mehr gesendet,da keine Verbindung mehr mit dem Internet besteht und der Backdoor somit nutzlos ist.

danke danke fuer die hilfe!!!
ich meine wo die gefahren sind waehrend ich online bin

Nunja..
das eine problem ist schon die existenz des backdoor auf dem pc des opfers. wenn so ein teil auf den pc kommt (und das passiert normalerweise über nen offenen port) dann ist die konfiguration wirklich fehlerhaft. und was ein bot kann, kann ein halbwegs erfahrener hacker dann schon lange. das zweite ist die gefahr dass der hacker über den backdoor ins system kommt. bei beidem kann er dein system verändert haben (systemdateien ersetzt, mal eben nen kleinen schlüssel versteckt in die registrierung geschrieben, was in den ads-stream geschrieben). du kannst aber nie rausfinden was, da kein av-scanner alle malware (malicious ware, wie viren,würmer,trojaner, ad- und spyware) erkennt.

Fazit: Die einzige möglichkeit wieder dem system vertrauen zu können ist es neu aufzusetzen.
tipps zum verhindern einer backdoorinfektion wurden dir ja schon zur genüge gepostet

JA AUF JEDEN FALL!!!

danke an alle
ihr habt mir sehr geholfen, ich hol mir morgen paar dvd-r und dann wir das ganze gehandhabt
ich halt euch dann auf jeden fall aufm laufenden

gruß

Naja.. Chris15 hat im Grunde scho recht... >> mit dem infizierten Rechner NICHT mehr online gehen.
Chiao