Wo sitzt der Wurm?

Diskutiere Wo sitzt der Wurm? im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Ich habe ein Programm installiert, danach eine Anti-Virus-Meldung. Der Pc ist deutlich langsamer geworden und im Internet lässt sich nicht mehr...

  1. #1 Billy Talent, 23.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich habe ein Programm installiert, danach eine Anti-Virus-Meldung.
    Der Pc ist deutlich langsamer geworden und im Internet lässt sich nicht mehr einwandfrei surven. Immer wenn ich eine gesuchte Seite bei google öffnen will, erscheint etwas ganz anderes.
    Hier die Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:42:45, on 23.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\system32\wbsecsvc.exe
    C:\Programme\Windows Media Player\WMPNetwk.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\TEMP\tempo-241.tmp
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdumh.exe] C:\WINDOWS\system32\kdumh.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: ZMatrix.lnk = C:\Programme\ZMatrix\matrix.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148462577078
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148462677343
    O17 - HKLM\System\CCS\Services\Tcpip\..\{36D7044D-9CF3-41B1-B809-6B2611928910}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CCS\Services\Tcpip\..\{44AE5383-F804-4804-A2A4-FDCE5D22BB81}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC745B2F-E0C4-4C8A-B95B-C9E54AFACDDF}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CS1\Services\Tcpip\..\{36D7044D-9CF3-41B1-B809-6B2611928910}: NameServer = 85.255.112.181;85.255.112.139
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: qvoywq.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

    --
    End of file - 7294 bytes
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Billy Talent, 23.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Bei einer Auswerung wurde als unbekannter Prozess gefunden:

    tempo-241.tmp

    Was ist das?
     
  4. #3 Ostseesand, 23.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    dein pc verbindet sich zu einem server in der urkaine.
    kam das programm per icq, oder im zusammenhang damit?

    trenne den pc sofort vom internet.
    ändere sofort deine onlinepasswörter von einem sauberen pc.
    schau deine zugangsdaten an und ändere sie und kontrolliere deine gebuchten dienste, ob da was gebucht wurde, was du nicht selber gemacht hast.
    letzte woche gab es dieselben vorfälle. da wurden passwörter ausspioniert und accounts vom provider verändert, sowie spiele online gekauft auf rechnung des ahnungslosen users.

    ich rate dir von einer desinfektion ab.
    du weisst nicht, was noch nachgeladen wurde seit dem vorfall.
    dein pc ist ein zombierechner.

    installiere den pc neu.
     
  5. #4 Leonixx, 24.11.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Stimme ich voll zu! Teil eines Botnet zu sein, ist nicht besonders angenehm. Hinzu kommt meistens, das dein System als Spamschleuder mißbraucht wird und du dich dadurch sogar strafbar machst.

    Neuaufsetzen ist die einzige Alternative!!

    Gruss Leonixx
     
  6. #5 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich habe den Auslieferungszustand mit der Support-disc wiederhergestellt.
    Bisher läuft alles, allerdings gab es eine Meldung vom Echtzeitüberwacher, dass eine gewisse Vidpordno.exe gefunden und bereinigt wurde.
    Aber das System läuft jetzt.
    Ich warte mal ab, was passiert.

    Passwörterkontrolle mache ich jetzt.
     
  7. #6 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    ok soweit, mit der recoverymethode.

    du sollst deine passwörter nicht kontrollieren, sondern ÄNDERN.
    kontrollieren sollst du im kontrollzentrum deine dienste, ob da was gebucht wurde, was du selber nicht gemacht hast.

    aber wie kommt denn schon wieder eine gewisse Vidpordno.exe (vidporno) auf dein sauberes system?
    hast du irgendwelche dateien wieder eingespielt, oder irgend welche programme wieder nachinstalliert?

    mach mal bitte noch ein hijackthis,aber lege es auf den desktop ab und ändere den namen in asdf.exe anstatt hijackthis.exe. führe es dann aus.
     
  8. #7 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Mit kontrollieren meinte ich doch ändern, sorry.

    Es kann sein, dass sich der Virus noch aufs Handy übertragen hat, als er auf dem PC war und ich es angeschlossen hatte. Ich habe es mal auf Viren prüfen lassen, nichts gefunden.
    Die Meldung kam nämlich unmittelbar nach dem Anschluss des Handys, die .exe wurde wohl geblockt.

    Hier nochmal ne Logfile:
    (Ich habe die Datei wie dus gesagt hast auf dem Desktop gespeichert, aber ich kann sie hier nicht hochladen, weil exes ja nicht gehen.)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:22:52, on 24.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\wbsecsvc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.medion.de/
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdorw.exe] C:\WINDOWS\system32\kdorw.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148462577078
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148462677343
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3E40A1B7-69FD-4266-9DAE-64158A0BA715}: NameServer = 85.255.112.86;85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E52220C1-F654-41B3-9D76-622B953CB98D}: NameServer = 85.255.112.86;85.255.112.189
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3E40A1B7-69FD-4266-9DAE-64158A0BA715}: NameServer = 85.255.112.86;85.255.112.189
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

    --
    End of file - 6574 bytes
     
  9. #8 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Habe ich mal analysieren lassen von HiJackThis und die 3 unbekannten IPs fixen lassen.
     
  10. #9 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    das kann ja nicht wahr sein.
    das ist das selbe spiel wie vorher.

    du hast ein echtes problem. irgendwas an malware läd dann einen trojaner herunter in
    C:\WINDOWS\system32\kdumh.exe
    C:\WINDOWS\system32\kdorw.exe
    danach wird dein system infiziert und einen namenserver eingetragen.
    alles was du am pc machst oder online erledigst, geht in die ukraine.

    PC sofort vom internet trennen !!!

    denk genau nach, was du nach der neuinstallation (recovery) so installiert hast.
    irgend was machst du, dass dein system wieder infiziert wird.
    lädst du von dubiosen seiten software runter?

    wenn du die kennwortänderunegn von diesem pc aus getätigt hast, kannst du wieder alles ändern, aber von einem sauberen pc aus.

    kannst du deinen vater oder eine andere person bitten, dieses problem anzugehen?
     
  11. #10 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich mache nochmal Recovery und dann werde ich das Handy nicht mehr anschließen.
     
  12. #11 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Heruntergeladen habe ch nur ICQ und Firefox, Flash player und Adobe.
     
  13. #12 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    dein eTrust Antivirus ist auch noch aktiv und aktuell nach dem recovery?
    mit irgendwas holst du dir den schädling wieder an bord.

    seid ihr vieleicht im netzwerk mit mehreren pc verbunden?
    benutzt du einen stick oder eine externe platte als datenspeicher, die du dann wieder anklemmst.

    wenn mehnrer pc an diesem router hängen, musst du die anderen personen informieren und sie müssen onlinekativitäten beenden.
    das ist kein kleiner vorfall, wo 1, 2 bilder verschwinden, es kann richtig teuer werden.
     
  14. #13 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich hab doch schon gesagt, dass es am Handy lag oder gelegen haben konnte, ich hatte schon einen ähnlichen fall, ich muss wohl das Handy mal reinigen von der Software her, aber das ist wieder eine andere Geschichte...

    Nach dem Recovery hier nochmal eine Logfile und die anderen PC´s im Netzwerk haben nichts damit zu tn, da ist alles in Ordnung.

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:41:30, on 24.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\wbsecsvc.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
    C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\GetFlash.exe
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148462577078
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148462677343
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

    --
    End of file - 4311 bytes
     
  15. #14 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich hpffe jetzt kann ich erstmal ruhig schlafen und gehe mal davon aus, dass es am Handy lag und ich es nicht mehr anschließen werde.
    Muss morgen früh raus und gehe jetzt schlafen.
    danke für eure Hilfe und insbesondere dir Ostseeland.
    Morgen schau ich nochmal.
    Gute Nacht.
     
  16. #15 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    sehr schön, alles sauber.

    ich gebe dir die tips, nicht um dich zu ärgern, sondern will dir aufzeigen, an was die wiederinfektion liegen könnte.
    manche vergessen eine externe platte, oder eine extra partition. :)

    was du nicht so alles auf deinem handy sammelst, :)

    wenn du die zugangskennung geändert hast, was ich mal hoffe, musst du auch die anderen personen im netzwerk informieren, sonst können sie nicht online gehen.
     
  17. #16 Billy Talent, 25.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Alles getan, immer wenn ich einen Virus hatte, hat er sich automatisch aufs Handy übertragen, wo er aber keine Wirkungen hatte.
    Heute morgen auch noch alles in Ordnung.

    Danke, ich weiß ;D.
     
  18. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  19. #17 TIPower, 25.11.2008
    TIPower

    TIPower Erfahrener Benutzer

    Dabei seit:
    26.03.2008
    Beiträge:
    2.201
    Zustimmungen:
    0
    Wie kann der sich denn aufs Handy übertragen , ich weis nur wenn jemanden Illegal spiele oder Programme läd das da manchmal Viren drin sind die die handy Firmware zerschießen.
     
  20. #18 Billy Talent, 25.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Oh, dann weißt du wohl noch sehr wenig. Ich möchte mal wissen, WOHER du das weißt.

    Die wurden wohl so programmiert, oder?
     
Thema: Wo sitzt der Wurm?
Besucher kamen mit folgenden Suchen
  1. ulcdrsvr .exe

    ,
  2. wbsecsvc was ist das

    ,
  3. what is hpqste08 .exe

Die Seite wird geladen...

Wo sitzt der Wurm? - Ähnliche Themen

  1. Wieder Würmer unterwegs!

    Wieder Würmer unterwegs!: [edit: wegen Verstoss gegen das Urheberrecht wurde der hier vorhandene Text entfernt! Copy & Paste von fremden Eigentum wird unter...
  2. Wurm

    Wurm: Hallo Computerfreunde Ich habe ein kleines Problem mit meinem Computer Er hat einen Wurm (WORM/conficker.2.03)-Meldung von avira Er zeigt...
  3. Schutz vor Viren,Trojaner,Würmer,Conficker

    Schutz vor Viren,Trojaner,Würmer,Conficker: Hallo, In diesem Thread möchte ich euch gerne einige Möglichkeiten präsentieren mit dem ihr zu 99,99% Viren,Trojaner,Würmer,Conficker etc....
  4. [Umfrage] Wie lange sitzt ihr am Tag vor dem PC?

    [Umfrage] Wie lange sitzt ihr am Tag vor dem PC?: Wie lange sitzt ihr so am Tag vor der Flimmerkiste? // ferienzeit!
  5. Wer wurde vom Conficker-Wurm schon infiziert?

    Wer wurde vom Conficker-Wurm schon infiziert?: Hi mich interresiert mal wer hier im forum schon von dem gefüchteten Conficker wurm infizeirt wurde und was er angerichtet hat