PC verseucht !

Seit geraumer Zeit zeigt mir mein F-Secure Virenscanner immerwieder an
dass er Bösartige Codes feststellt. Er kann diese Dateien zwar dann immer löschen jedoch kommen diese Dateien immer wieder !
Häufig sind sie im windows/system32 ordner anzutreffen wie zuletzt bling.exe
oder so. Was auch merkwürdig ist dass permanent in meinem C: Laufwerk Dateien auftreten wie mamapapa.exe oder applebanana.exe. Auch wenn ich diese Dateien 100x lösche sie kommen immer wieder. Ad-aware nützt gar nichts mehr. Etwas Hilfe konnte mir a-squared und spybot bringen jedoch ist mein Pc mit winxp immer noch nicht sauber jetzt. Wie kriege ich diese hinterhältigen Trojaner(?) los ? und wie kann ich mich in Zukunft von diesen schützen ?
(am besten freeware)

Mach mal ne Log Datei mit diesem Tool und kopier sie hier rein.
http://www.wintotal.de/softw/?id=2022

Davor in Zukunft schützen? Dazu müsstest du dein Klickverhalten drastisch überdenken denn diese Plagegeister kommen nich von allein in dein System.

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svmhost.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\WINDOWS\System32\wuraclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\mozilla\mozilla.exe
C:\Setupdateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [F-Secure Manager] C:\Programme\F-Secure\Common\FSM32.EXE /splash
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
O4 - HKLM\..\Run: [Direct X Direct3D] dxd3d.exe
O4 - HKLM\..\Run: [windows update] waucrlt.exe
O4 - HKLM\..\Run: [*windows update] wuraclt.exe
O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [Direct X Direct3D] dxd3d.exe
O4 - HKLM\..\RunServices: [windows update] waucrlt.exe
O4 - HKLM\..\RunServices: [*windows update] wuraclt.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Direct X Opengl] dxopengl.exe
O4 - HKCU\..\Run: [Direct X Direct3D] dxd3d.exe
O4 - HKCU\..\Run: [windows update] waucrlt.exe
O4 - HKCU\..\Run: [*windows update] wuanclt.exe
O4 - HKCU\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKCU\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtw32.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/ get_file.php? bt=ie&p=894c3321adba4bf99794a8c2947811dea40fbce3aeaa07d8ae53fd6fbd9cc0ac172960cd7d95b
c6cb1273340def4cd952bf727aa7a:9c98a56f98513947bf1a5aca327245ea

MasterV schrieb:

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/
get_file.php?bt=ie&p=894c3321adba4bf99794a8c2947811dea40fbc
e3aeaa07d8ae53fd6fbd9cc0ac172960cd7d95bc6cb1273340def4cd952bf727aa7a:9c98a56f98513947bf1a5aca327245ea

Zum Vergrößern anklicken....

Das hier dürfte zumindest ein Teil Deines Problems sein. Fixen/Löschen.

Bye,
Freudi

hallo !

Leider sehe ich hier keine Datei oder ähnliches deswegen weiß ich nicht was du mit
fixen/löschen meinst. Leider bin ich ein rechter Laie was PCs angeht. Deswegen schreibe
ich meine Probleme auch immer hier rein.

Noch was: Ich habe mal gehört das man sich mit sogenannten port schliessen vor
sowas schützen kann. Leider habe ich keine Ahnung was das ist und wie man das macht ...
ihr ?

masterV schrieb:

Leider sehe ich hier keine Datei oder ähnliches deswegen weiß ich nicht was du mit
fixen/löschen meinst.

Zum Vergrößern anklicken....

Gibt's denn dazu keine entsprechende Option in HijackThis?

Noch was: Ich habe mal gehört das man sich mit sogenannten port schliessen vor
sowas schützen kann.

Zum Vergrößern anklicken....

Vor so was eher nicht. Da helfen Brain 1.0, restriktive Sichrheitseinstellungen im IE oder ein alternativer Browser.

Bye,
Freuzudem Deine Windows-Version nicht wissenddi

Deinen Systemdateien nach hast du als BS WinXP, richtig?

Dein Log ist ziemlich unübersichtlich, weil du den Mozilla-Browser geöffnet hattest.
Hijackthis arbeitet am Besten, wenn alle Fenster geschlossen sind.

Nach dem Scannen mit Hijackthis sollten vor den Einträgen Kästchen zu sehen sein. Die von Freudi genannten Einträge anhaken und dann unten den Button fix checked drücken.

Die gelisteten Einträge werden aber nur in der Registry gelöscht, eventuell installierte Programme musst du selbst löschen.

Benutze mal die such-Funktion hier im Forum, es gibt unzählige Beiträge zu Hijackthis und im Tipp-Bereich eine ausführliche Anleitung.

Hallo MasterV

Mal folgenden Artikel gut durchlesen. Könnte helfen beim umgang mit Hijack This.
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

Schönen Abend noch.

Der Beachelch 8)

C:\WINDOWS\System32\svmhost.exe

löschen

O4 - HKLM\..\Run: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunServices: [windows update] waucrlt.exe
O4 - HKLM\..\RunServices: [*windows update] wuraclt.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe
O4 - HKLM\..\RunOnce: [Microsoft Windows Update] svmhost.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

fixen, die exe-dateien löschen

und da die dateien im %SYSTEMROOT%\system32 ordner liegen, kann es sein, daß sie sich auch im ordner %SYSTEMROOT%\system32\dllcache befinden, das ist ein sicherheitsmechanismus von windows. da mußt du sie auch löschen. und zur sicherheit auch die systemwiederherstellungspunkte mal bereinigen lassen. das ganze sollte im abgesicherten modus als administrator über die bühne gehn. dann installier dir noch ad-aware und spybot, aktuallisier diese programme und laß sie mal die kiste komplett durchsuchen. alle gefundenen einträge bzw. datein markieren und bereinigen lassen. und als letztes kannst du mal die kiste online scannen lassen http://www.antivirus-online.de/german/online.php am besten alle scanner mal drüberjagen, wenn dann nichts mehr gefunden werden sollte, ist alles wieder ok. dann solltest du dir noch gedanken machen über dein surfverhalten, sonst war die säuberungsaktion für die katz ...

greetz

hugo

nun erstmal danke für eure mühen.
Aber ich muss sagen ich dachte diese Hijacker und Trojaner lauern nicht nur
auf den Pornoseiten. Kommen die nicht auch über Popupfenster rein und so ?
(mal auf mehr oder weniger normalen Seiten auch) ?
oder schleichen die sich durch cookies ein ?

Sowas holt man sich heut auch durch Filesharing und emails.

Das mit den Cockies ist eher ein guter Witz.

Also da auch filesharing programme hier bei wintotal.de angeboten werden
denke ich kann ich zugeben es auch zu tun. Bei emails ist es doch wohl nur durch
spammails der Fall oder?? solche bekomme ich nämlich gar nicht. Wie kann man sich den beim
filesharen schützen ?

ist denn das nicht dieser Mist, mit dem MS nach Hause telefoniert ??? Das sind keine Trojaner, sondern Dateien vom Typ Trojaner, denn dieses XP ist ja ein einziger Trojaner ;D ;D
Das kannste so oft löschen, wie Du willst, das stellt XP immer wieder neu her. Du kannst da nur Einstellungen vornehmen, dass er halt nicht senden kann. PestPatrol stolpert immer wieder über dieses Zeug und egal, wie oft Du das löscht, nach einem Neustart steigt der Hampelmann wieder aus der Kiste.

Peter

Wie kann man sich den beim
filesharen schützen ?

Zum Vergrößern anklicken....

Indem man es unterlässt.

@petsch

Kein Komentar zu soviel Weisheiten.

;D
@ petsch,
hmm , nur mal so, auch bei Windows gibt es viele Einstellungen, die rumhampeln unterbieten. Man muss nur wissen wie und wo.

na schön zu wissen das sich immer das beste durchsetzt
aber naja... nach all den bemühungen bleibt standhaft ein wurm namens bling.exe
übrig ? Wie kann ich ihn um die Ecke bringen ( wenn überhaupt?)

hier wäre richtige Zeit und Ort mir ein paar solche zu verraten !

W32/Sdbot-OH ist ein IRC-Backdoortrojaner und ein Netzwerkwurm.

W32/Sdbot-OH kopiert sich auf Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind, wobei er den Namen bling.exe verwendet.

Jedes Mal, wenn W32/Sdbot-OH gestartet wird, versucht er, sich mit einem remoten IRC-Server und einem bestimmten Kanal zu verbinden. Der Wurm läuft dann im Hintergrund und gibt einem remoten Eindringling die Möglichkeit, Befehle zu senden, mit denen er den Computer steuern kann.

Zum Vergrößern anklicken....

Hinweise zum Entfernen:
http://www.sophos.de/support/disinfection/worms.html

@masterV

Für dich wäre es aus meiner Sicht angebracht, mal über einen eingeschränkten Benutzer nachzudenken, den Du für deine Online-Aktivitäten benutzen solltest.

Das wird leider wenig nutzen wenn er danach mit Adminrechten die über Filesharing heruntergeladenen Dateien startet.