Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Hijack (https://www.dedies-board.de/wbb2/thread.php?threadid=289)

Geschrieben von Petra*** am 05.05.2005 um 12:53:

Lampe Hijack

VIELEN DANK für die schnelle Bearbeitung, ich hätte mich totgesucht im Web.
Provider: 1&1

kann ich nun die aufgeführten "DATEIEN" oder Zeilen löschen?
checke momentan mit MicroWorld das System, hat 41 Würmer, Viren usw. gefunden, versuche erst mal auf diesen Weg, wenn es nichts nützt, muß ich wohl in den sauren Apfel beissen u. format:c aber das reicht doch auch nicht?

irgendwie spinnt die Tasttatur wieder motz


Geschrieben von Vimes am 05.05.2005 um 13:05:

  RE: Hijack

Du möchtest Cidre, Haui und MobyDuck.

Außerdem würde ich die Überschrift ändern, z.B. in "Logfile-Auswertung" oder ähnliches, damit die wissen, daß Du Hilfe brauchst.

Poste einfach erstmal das Logfile hier rein.

Ach ja, unter "Sicherheitsnews" bist Du flasch, Petzauge also verschiebe ich es ins Antiviren-Board.

MfG
Vimes


Geschrieben von Petra*** am 05.05.2005 um 13:31:

  RE: Hijack

Danke Vimes,
ich war noch nie in solch einem Forum, vielleicht sollte man es öfters besuchen? grübeln

Sende mal diese Logfile rüber. bin gespannt was Ihr dazu sagt und wie ich den PC wieder clean bekomme ? unglücklich
Da wir den PC erst vor einen Monat neu eingerichtet haben und nun schon wieder alles durcheinander läuft. Was kann man tun, um diese Spyware usw... umzugehen oder auszuschalten?

Freue mich auf Eure Hinweise und Ratschläge
Petra***

Logfile of HijackThis v1.99.1
Scan saved at 13:06:13, on 05.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\crypserv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Media Access\MediaAccK.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TBar234.exe
C:\WINNT\sxe4.tmp
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Petra1\LOKALE~1\Temp\7zO191.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - h**ps://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/26582ebfe2af2c107718/netzip/RdxIE601.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{428E8604-0E5E-455A-BC3F-B2A542836852}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE


Anmerkung: Ich habe die Hyperlinks in Deinem Logfile "entschärft". MfG Vimes


Geschrieben von Petra*** am 05.05.2005 um 13:36:

  RE: Hijack

>>>>>>>><das ystem wieder sabil <<<<<<<<<<
da spinnt die Tastatur manchmal? Augen rollen meinte natürlich
System stabil ! sonne

Hallo Petra*** bitte benutze den "Editieren"-Knopf, damit kannst Du einen bestehenden Eintrag erweitern, statt einen neuen dranzuhängen. Danke! Petzauge MfG Vimes

DANKE!!! ich lerne noch dazu Winken
LG Petra***

Hallo Vimes,
habe nun dieses Virenprogramm runtergeladen und durchlaufen lassen, wurden auch einige "gefährliche Bösewichter" entfernt. Aber nicht alles.
Den Fiox hab ich uch drcgeführt. Ja dauert ewas längebei mir, da ich noch nicht so viele Erfahrungen damit gesammelt habe.
Schicke mal kurz die neue Logfile von HIJACK rüber. MU? ich nun in den sauren Apfel noch beissen? grübeln
Oder gibt es noch andere Möglichkeiten?
Wie gehe ich dann am BESTE vor, wenn ich die Festplatten doch bereinigen muß? format c das löscht ja nicht wirklich ALLES! Da gibt es doch sicherlich auch noch eine andere "Zauberformel"?
LG Petra*** cool

C:\Program Files\Media Access\MediaAccK.exe
C:\DOKUME~1\Petra1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Petra1\LOKALE~1\Temp\kavss.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program Files\Media Access\MediaAccess.exe
E:\Programme\7-Zip\7zFMn.exe
C:\DOKUME~1\Petra1\LOKALE~1\Temp\7zOCA9.tmp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINNT\system32\Userinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - (no file)
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/26582ebfe2af2c107718/netzip/RdxIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428E8604-0E5E-455A-BC3F-B2A542836852}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINNT\SYSTEM32\crypserv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Programme\AMD\Cool'n'Quiet\GemServ.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Iomega App Services - Iomega Corporation - C:\PROGRA~1\Iomega\System32\AppServices.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE


Geschrieben von Vimes am 05.05.2005 um 13:42:

  RE: Hijack

Zitat:
Original von Petra***
ich war noch nie in solch einem Forum, vielleicht sollte man es öfters besuchen?


Empfehlenswert :)

Ich zitiere mal die Einträge, die mir verdächtig erscheinen. Weitere Hinweise gibts von unseren Fachleuten...

Zitat:
C:\WINNT\TBar234.exe
C:\WINNT\sxe4.tmp


Google sagt nicht viel über den ersten, scheint aber ein Schädling zu sein. Beim zweiten deutet meine hastige Suche auf einen Trojaner hin.

Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/


Freenet als Startseite gewünscht?



Zitat:
h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab


Würg. Das hört sich merkwürdig an.

Zitat:
O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB


Das auch.

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{428E8604-0E5E-455A-BC3F-B2A542836852}: NameServer = 217.237.149.161 217.237.151.225 [/quote

Sind das die DNS-Server Deines Providers? Welchen Provider hast Du?

[quote]O23 - Service: PSEXESVC - Unknown owner - C:\WINNT\System32\PSEXESVC.EXE


Würg. Eine Fernsteuerungssoftware (eine, mit der man Prozesse aus der Ferne bedienen kann) auf Deinem Rechner. Ich bezweifle, daß das gewollt ist.

Den Rest sagen Dir unsere Experten, aber ich fürchte, Du hast Recht und die Kiste ist verseucht.

MfG
Vimes


Geschrieben von dedie am 05.05.2005 um 14:00:

 

C:\Program Files\Media Access\MediaAccK.exe

C:\Program Files\Media Access\MediaAccess.exe

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe


O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll


O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://static.windupdates.com/cab/624797...e/bridge-c7.cab


O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - h**p://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab


O16 - DPF: {AD0B8220-7DA4-4C0A-8532-B25A9F631D3D} (VacPro.internazionale_ver10) - h**p://advnt01.com/dialer/internazionale_ver10.CAB


FIXEN


Geschrieben von Cidre am 05.05.2005 um 14:08:

 

Willkommen Petra***,

Vimes hat es eigentlich schon auf den Punkt gebracht, denn dein System ist mit verschiedenster Malware [1] durchseucht und die beste Lösung wäre ein erneutes Neuaufsetzen deines Systems.
Die ansprochene 'C:\WINNT\System32\PSEXESVC.EXE' dürfte der Backdoor.IRC.Ratsou sein, dieser erlaubt den Fernzugriff durch Dritte auf dein System! Siehe auch http://securityresponse.symantec.com/avcenter/venc/data/backdoor.irc.ratsou.html

[1] z.B. C:\Program Files\Media Access

Zur Analyse kannst du noch mit eScan AntiVirus im abgesicherten Modus scannen und danach postest du uns die Virus Log Information:
Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten.

Ich würde einen sauberen Schnitt ziehen und das System neu aufsetzen. Eine detalierte Anleitung findest du in meiner Signatur.

In eigener Sache:

Lese bitte das nächste Mal die Anleitung: HiJackThis und beachte die Hinweise.