Frage stellen

Win32 (TMD usw..) virus? wie rette ich meine arbeit????? BItte helfen!!!

3.4k Aufrufe
Gefragt in Security Viren von speedfreak1000 Einsteiger_in (15 Punkte)
AAAhhhh ich bekommen andauernt anfragen von kaspersky
"ausgehende TCP-Verbindung"
"Generic Host Prozess for Win32 Services"
Remote-IP-Adresse: barracuda.cdsinet.net

ich habe highjackthis drüber laufen lassen und nachfolgende werte bekommen!

Ich hoffe ihr könnt mir helfen, ich nutze diesen laptop für betriebsinterne Konstruktionen. Danke Danke für eure hilfe, wenn noch wichtige infos fehlen sollten grad bescheid sagen! danke :-)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:30:41, on 16.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\Programme\PDF Complete\pdfsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\photo_id.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hp.com
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 9\SnagItBHO.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 9\SnagItIEAddin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [photo_id] C:\WINDOWS\system32\photo_id.exe
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messeng

7 Antworten

0 Punkte
Beantwortet von speedfreak1000 Einsteiger_in (15 Punkte)
O4 - HKCU\..\Run: [photo_id] C:\WINDOWS\system32\config\systemprofile\photo_id.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [3DxAssociateFileExts] C:\Programme\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CCC.lnk = ?
O4 - Startup: sysupd32.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: OneCard - C:\Programme\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqWmiEx.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Programme\PDF Complete\pdfsvc.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - c:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - c:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

--
End of file - 11807 bytes
0 Punkte
Beantwortet von road-runner Experte (5.8k Punkte)
Hallo,

lade das Logfile bei hijackthis.de hoch und lasse es auswerten.

Es werden verschiedene Punkte angemeckert, u.a. ist lediglich SP2 installiert und der IE 6 schwimmt noch auf dem System herum. Aktuell wäre SP 3 und IE 8.

Dann hast Du eine (in meinen Augen überflüssige) Ask-Toolbar an Board.

Und schlussendlich wird eine Datei sysupd32.exe (unbekanntes Programm) als äusserst schädlich angemeckert. Laut meinen Recherchen im Netz handelt es sich hier um einen Trojaner.

Meine Empfehlung lautet: sichere Deine eigenen Dateien und setze das System neu auf. Achte dann darauf, Dein System immer aktuell zu halten und lege Dir für die tägliche Arbeit ein Konto mit eingeschränkten Benutzerrechten zu.

Gruss

Road-Runner
0 Punkte
Beantwortet von speedfreak1000 Einsteiger_in (15 Punkte)
ja du kp, das SP2 is gleich beim kauf installiert worden und SP3 hm..meine name ist hase.

ask-toolbar hm, wo kann ich die kicken? systemeinstellungen->software und schüss?

diese datei (trojaner) habe ich in C/windows/prefetch gefunden und hat sich einfach so löschen lassen. reicht das aus, ich lassen grade nen virenscan von kaspersky drüberlaufen.

und habe mir grad noch total commander runtergeladen und habe versucht noch Content.IE5 zu löschen. was aber nicht funktioniert hat...

leider kommt immernoch alle 60sec. die gleiche meldung über host usw. mit immer einer anderen remote-ip-adresse, diese ich immer verbiete. ob das was bringt..ich weiß es nicht.

ja das versuche ich zu umgehen, ich habe eigentlich nicht einen tag zu verschenken :-( aber ok, wenn das der ausweg bleibt richte ich mich danach.

mfg und danke gell
0 Punkte
Beantwortet von xmax Experte (4.1k Punkte)
lade das Logfile bei hijackthis.de hoch und lasse es auswerten. - @A2, falls es unter gegangen ist;-))
Die welche da orange und rot markiert sind, hier posten- oder halt was Du nicht nachvollziehen kannst.

Hi,

wie rette ich meine arbeit????? BItte helfen!!! - worüber ist hier überhaupt die Rede, denn ebenfalls in der @A2 steht:
Meine Empfehlung lautet: sichere Deine eigenen Dateien und setze das System neu auf. - die Betonung auf Daten sichern.
Vor dem Sichern mit einem aktuellen Antivir die Dateien checken.
Du müsstest auch was mit "wie rette ich meine Arbeit?" meinst näher erklären.
Kurz, sichere Die wichtige Daten solange es noch geht und dann kann man weiter schauen.

MfG
0 Punkte
Beantwortet von road-runner Experte (5.8k Punkte)
Ein einmal kompromittiertes System ist in der Regel als unsicher anzusehen. Sie haben keinerlei Garantie, dass neben dem entdecktem Schädling nicht noch weitere Schädlinge auf dem System vorhanden sind. Im Gegenteil: Allein die Tatsache, dass Schädlinge auf dem Computer gefunden wurden, lässt den Schluss zu, dass grundlegende Sicherheitsrichtlinien nicht eingehalten wurden. Deswegen ist eine Neuinstallation des Computersystems unter Einhaltung der zehn goldene Regeln dringend zu empfehlen.


Quelle

Du kannst zwar nach der Checkliste Schädlingsbeseitigung verfahren, eine hunderdprozentige Garantie, dass das System sauber ist, ist aber nicht gegeben.

das SP2 is gleich beim kauf installiert worden und SP3 hm..meine name ist hase.


Dann ist der Rechner höchstwahrscheinlich immer noch auf dem damaligen Stand (oder hast Du wenigstens manuelle Updates gemacht?) und von daher als hochgradig unsicher einzustufen.

ask-toolbar hm, wo kann ich die kicken?


Die kommt normalerweise als Zugabe zu irgendwelchen Freeware-Programmen und wird mit installiert, wenn man sie bei der Installation nicht abwählt. Ob sie unter Systemeinstellungen - Software zu finden ist, weiss ich nicht, da ich prinzipiell bei allen Programmen die benutzerdefinierte Installation nehme und jeglichen Toolbarschrott abwähle.

Aber wenn Du das System neu aufsetzt, ist die Askbar automatisch weg. Dann heisst es nur aufpassen, dass sie sich nicht wieder einschleicht.

ja das versuche ich zu umgehen


Das ist einzig und allein Deine Entscheidung. Bedenke aber, dass ein infiziertes System nicht nur Deinen Rechner ausspionieren kann, sondern dass Du eventuell Teil eines Botnetzes sein könntest.

Gruss

Road-Runner
0 Punkte
Beantwortet von speedfreak1000 Einsteiger_in (15 Punkte)
Autsch..ok, das nächste we werde ich wohl drauf verwenden.
ich habe allerdings keine installationsdatei von Windows mitbekommen. Ich habe allerdings noch eine Original Windows CD XP home edition allerdings..ist kein unterschied oder ..wenn ich die home version hier festlege?!

übrigends danke, ihr seid eine große hilfe!
0 Punkte
Beantwortet von road-runner Experte (5.8k Punkte)
Welche Windows-Version ist momentan auf dem Rechner? Wenn auf dem Rechner XP Professional installiert ist, wird die CD von XP Home Dir nichts nutzen, da diese nicht mit dem Lizenzschlüssel der Professional-Version laufen wird.

Wenn Windows beim Kauf des Rechners vorinstalliert war, wurdest Du normalerweise beim ersten Start aufgefordert, Rettungs-CDs zu erstellen. Das sollte sich aber auch jetzt noch nachholen lassen. Wirf mal einen Blick ins Handbuch des Rechners. Es kann auch sein, dass es möglich ist, den Rechner über einen Menüpunkt unter Start - Alle Programme wieder auf den Auslieferungszustand zurück zu setzen.

So oder so solltest Du unbedingt, bevor Du irgendwas in Punkto Neuinstallation unternimmst, Deine Daten sichern. Denke dabei nicht nur an Deine Eigene Dateien, sondern auch an Mails und Adressbücher sowie den Profilordner von Firefox.

Gruss

Road-Runner
...