Viren und Spione,Bitte helfen!

poppsi · 25.10.2004

Hi Leute,
habe seit einiger Zeit massive Probleme mit Viren und
Spyware.Angefangen hat es eigentlich mit dem Einnisten von easysearch und thebestsearch-
Seiten in den Favoriten,dann Trojaner,z.B. mfplay.dll u.ä.,habe dann aufgrund der Tips in den Foren
McAfee Virenscanner (Bringt regelmäßig Meldungen
zu Infekten,die sich weder löschen noch säubern noch
in Quarantäne schieben lassen),SpyBot,SpySubtract und CWShredder
installiert,die ich immer wieder laufen lasse,bis keiner mehr was findet,aber beim nächsten Hochfahren ist alles wieder da.
Außerdem kommen Meldungen,dass ich ausspioniert werde (GoHip,IEMonit usw.),Microsoft IE,Outlook
Express und DFÜ-Verbindung poppen teilweise selbsständig auf und die Meldung Verbindung trennen erscheint nicht mehr automatisch.
Immer we ich denke,ein Problem im Griff zu haben,kommt ein neues hinzu.
Hoffentlich kann mir auf diesem Wege jemand helfen,
da ich auch nicht der PC-Freak bin,der tief ins Innere
des PC´s blicken kann.

Gruß Werner

verschoben von Windows XP

PCDpan_fee · 25.10.2004

WinTotal Tipparchiv
http://www.wintotal.de/Tipps/Eintrag.php?TID=873

pan_fee

bythom · 25.10.2004

Und nicht vergessen den letzten fett gedruckten Satz in rot am Ende der Seite beachten.

poppsi · 27.10.2004

Habe die hijackthis.log jetzt,aber wie kopiere ich die
hier ins Forum rein?

Flocke · 27.10.2004

Klick im Programm auf Save Log -> Öffne die Textdatei, kopiere den Text hier in das Eingabefenster, welches sich bei Klick auf Antwort öffnet und drücke auf Eintrag.

poppsi · 27.10.2004

Logfile of HijackThis v1.98.2
Scan saved at 14:15:59, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
J:\AppzXP\mcafee\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\Fast.exe
J:\AppzXP\mcafee\VsStat.exe
J:\AppzXP\mcafee\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
J:\AppzXP\mcafee\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\bgswitch.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\hphmon04.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnf.exe
J:\AppzXP\SpySub.exe
J:\AppzXP\Programme\fritz\FriFax32.exe
C:\WINDOWS\System32\authz.exe
C:\WINDOWS\System32\taskmgn.exe
I:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/customerindex_14.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\AppzXP\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - J:\AppzXP\mcafee\VSCShellExtension.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe /STARTMONITOR
O4 - Startup: FRITZ!fax.lnk = J:\AppzXP\Programme\fritz\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = J:\AppzXP\Programme\Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = J:\AppzXP\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\AppzXP\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253

hp · 28.10.2004

C:\WINDOWS\System32\authz.exe

authz.exe Schädlinge (system32) Virus, Wurm, Trojaner (Casino.Palazzo)

C:\WINDOWS\System32\taskmgn.exe

taskmgn.exe Schädlinge (system32) Trojaner Win32.LikeSurf (Casino Palazzo), nicht zu verwechseln mit der Systemdatei Windows Task-Manager taskmgr.exe
http://www.wintotal.de/Spyware/

O9 - Extra button: Related - {} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

mal fixen

O15 - Trusted Zone: http://*.63.219.181.7

als reverse lookup kommt der untere eintrag raus. ist das dein einwählknoten? wenn nicht, fixen ...

Name: connect.online-dialer.com
Address: 63.219.181.7

um die trojaner wegzubekommen, nimm mal das tool sysclean von trendmicro http://www.trendmicro.com/download/dcs.asp und das aktuelle pattern file http://www.trendmicro.com/download/pattern.asp der sollte die bösewichte vernichten können ...

greetz

hugo

poppsi · 28.10.2004

Es geht weiter!

Habe die beiden 09er über hijackthis gefixt.

Authz.exe und taskmgn.exe lassen sich nicht
löschen.Zugriff verweigert.

Was bedeutet reverse lookup und woher weiß ich,
ob die angegebene Adresse mein Einwählknoten ist?

Gruß Werner

poppsi · 28.10.2004

Noch was,

lpt220.zip oder controlled pattern release
von sysclean?

Freudi · 28.10.2004

poppsi schrieb:
Authz.exe und taskmgn.exe lassen sich nicht
löschen.Zugriff verweigert.

Weil sie gerade laufen? Schau mal in den Taskmanager ([Strg]+[Alt]+[Entf]). Mit Glück findest Du sie dort und kannst die Taks beenden. Danach löschen.

Allerdings wäre mir ein System, über das ich die Kontrolle verloren habe, nicht mehr geheuer.

Bye,
Freudi

Athene · 28.10.2004

Genau - ich würde nicht nur Formatieren und sauber neu installieren - ich würde auch mal anfangen zu überlegen, wie es dazu kommen konnte - damit sich das nicht so bald wiederholt.
Nach dem Motto:
erst Diagnose - dann Therapie - nicht nur Symptombehandlung........

poppsi · 28.10.2004

Schritt für Schritt....

Durch den Tip von Freudi konnte ich taskmgn und authz löschen.Danke nochmal.

Aber eure Aussagen mit dem Kontrolle verlorenusw. beunruhigen mich jetzt doch.
Kann man die Kontrolle wieder erlangen?

Und Überlegen,wie es dazu kommen konnte?
Wie finde ich das heraus,womit der ganze Sch...
angefangen hat?

Athene · 28.10.2004

Schlau machen, welche Schutzmassnahmen sinnvoll sind - und die einsetzen - und das eigene Klickverhalten überprüfen.......

poppsi · 28.10.2004

Wird langsam besser,

Startseite about:blank und die Favoriten von
easysearch scheinen weg zu sein.

Habe allerdings gelesen,dass die Trusted Zone-
*.63.219.181.7 unbedingt gelöscht werden muss.
Fixe das Ding in HJT und beim nächsten Scan ist`s
wieder da.Vielleicht deaktiviert das auch meinen
Virenscanner und lässt die DFÜ-Verbindung selbständig aufpoppen.

Wie kriege ich das Ding los?
(Siehe auch in meinem HJT LogFile-015er Eintrag)

berliner-loewe · 28.10.2004

Poste mal ein neues Logfile und schließe bitte vorher alle Anwendungen die Du nicht unbeding benötigst.

Was ist eigentlich
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
das für ein Eintrag?

poppsi · 28.10.2004

Logfile of HijackThis v1.98.2
Scan saved at 19:21:48, on 28.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
J:\AppzXP\mcafee\Avsynmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\wuauclt.exe
J:\AppzXP\mcafee\VsStat.exe
C:\WINDOWS\System32\bgswitch.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\System32\hphmon04.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnf.exe
J:\AppzXP\SpySub.exe
J:\AppzXP\Programme\fritz\FriFax32.exe
J:\AppzXP\mcafee\Avconsol.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
I:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/freenet/customerindex_28.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - J:\AppzXP\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\winnet.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - J:\AppzXP\mcafee\VSCShellExtension.dll
O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe
O4 - HKLM\..\Run: [HPHUPD04] C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] J:\AppzXP\HP Photo and Imaging 1.0\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] J:\AppzXP\ProgrammeBrowserMouse1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] J:\AppzXP\Programme\MultiMediaKeyboard1.1\KbdAp32A.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe /STARTMONITOR
O4 - Startup: FRITZ!fax.lnk = J:\AppzXP\Programme\fritz\FriFax32.exe
O4 - Global Startup: Microsoft Office.lnk = J:\AppzXP\Programme\Office\Office10\OSA.EXE
O4 - Global Startup: SpySubtract.lnk = J:\AppzXP\SpySub.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\AppzXP\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{72268F3D-4F69-4877-A2CA-E2D3875A0739}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{021200C2-5C1A-40E2-A438-FEEB50F5925F}: NameServer = 192.168.120.252,192.168.120.253

Habe den 015er Eintrag auch schon versucht,in den
Vertrauenswürdigen Seiten zu entfernen,aber
der schreibt sich immer wieder rein.

Der fast.exe-Eintrag ist laut HJT-Auswertung unnötig,aber ungefährlich,sollte ich vielleicht
trotzdem löschen.

berliner-loewe · 28.10.2004

C:\Programme\Internet Explorer\iexplore.exe

Der sollte doch geschlossen sein

C:\WINDOWS\System32\winnet.dll

http://www.pestpatrol.com/PestInfo/t/trojandownloader_win32_agent_av.asp

Aus dem Verzeichnis löschen und im HJT fixen.

Die Fast.exe würde ich mal Online scannen lassen, aber nicht löschen.
Eventuell verschieben.

Ausserdem mal über einen Browserwechsel nachdenken

PCDpan_fee · 28.10.2004

bla schrieb:
Was ist eigentlich
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
das für ein Eintrag?

gehört zu PowerToys
http://www.wintotal.de/softw/?id=523

Quelle: http://www.wintotal.de/Spyware/index.php

pan_fee

berliner-loewe · 28.10.2004

@pan_fee

Danke für die Aufklärung ;D

poppsi · 29.10.2004

Gebe langsam die Hoffnung auf.

Versuch winnet.dll zu löschen fehlgeschlagen.

Dann rein ins Forum und alles wieder wie vorher.
about:blank-Startseite,easysearch-Favoriten usw.

Also: CW-Shredder beseitigt CWS.

Spybot bereinigt zum x-ten mal DSO-Exploit
(5 Änderungen der Reg.dateien)

McAfee löscht Trojaner.

Böse Einträge im HJT gefixt.

Beim nächsten IE-Aufruf ist der ganze Mist wieder da.

Meine letzte Hoffnung ist das Entfernen der
Vorzugsseite *.63.219.181.7

Aber wie bringe ich die weg?

Viren und Spione,Bitte helfen!

poppsi

PCDpan_fee

bythom

poppsi

Flocke

poppsi

hp

poppsi

poppsi

Freudi

Athene

poppsi

Athene

poppsi

berliner-loewe

poppsi

berliner-loewe

PCDpan_fee

berliner-loewe

poppsi

Viren und Spione,Bitte helfen!

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums