Wo sitzt der Wurm?

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von Billy Talent, 23.11.2008.

  1. #1 Billy Talent, 23.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich habe ein Programm installiert, danach eine Anti-Virus-Meldung.
    Der Pc ist deutlich langsamer geworden und im Internet lässt sich nicht mehr einwandfrei surven. Immer wenn ich eine gesuchte Seite bei google öffnen will, erscheint etwas ganz anderes.
    Hier die Logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:42:45, on 23.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Windows Media Player\WMPNSCFG.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\WINDOWS\system32\wbsecsvc.exe
    C:\Programme\Windows Media Player\WMPNetwk.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\TEMP\tempo-241.tmp
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdumh.exe] C:\WINDOWS\system32\kdumh.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: ZMatrix.lnk = C:\Programme\ZMatrix\matrix.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148462577078
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148462677343
    O17 - HKLM\System\CCS\Services\Tcpip\..\{36D7044D-9CF3-41B1-B809-6B2611928910}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CCS\Services\Tcpip\..\{44AE5383-F804-4804-A2A4-FDCE5D22BB81}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EC745B2F-E0C4-4C8A-B95B-C9E54AFACDDF}: NameServer = 85.255.112.181;85.255.112.139
    O17 - HKLM\System\CS1\Services\Tcpip\..\{36D7044D-9CF3-41B1-B809-6B2611928910}: NameServer = 85.255.112.181;85.255.112.139
    O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
    O20 - AppInit_DLLs: qvoywq.dll
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

    --
    End of file - 7294 bytes
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Billy Talent, 23.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Bei einer Auswerung wurde als unbekannter Prozess gefunden:

    tempo-241.tmp

    Was ist das?
     
  4. #3 Ostseesand, 23.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    dein pc verbindet sich zu einem server in der urkaine.
    kam das programm per icq, oder im zusammenhang damit?

    trenne den pc sofort vom internet.
    ändere sofort deine onlinepasswörter von einem sauberen pc.
    schau deine zugangsdaten an und ändere sie und kontrolliere deine gebuchten dienste, ob da was gebucht wurde, was du nicht selber gemacht hast.
    letzte woche gab es dieselben vorfälle. da wurden passwörter ausspioniert und accounts vom provider verändert, sowie spiele online gekauft auf rechnung des ahnungslosen users.

    ich rate dir von einer desinfektion ab.
    du weisst nicht, was noch nachgeladen wurde seit dem vorfall.
    dein pc ist ein zombierechner.

    installiere den pc neu.
     
  5. #4 Leonixx, 24.11.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.903
    Zustimmungen:
    0
    Ort:
    NIX DO
    Stimme ich voll zu! Teil eines Botnet zu sein, ist nicht besonders angenehm. Hinzu kommt meistens, das dein System als Spamschleuder mißbraucht wird und du dich dadurch sogar strafbar machst.

    Neuaufsetzen ist die einzige Alternative!!

    Gruss Leonixx
     
  6. #5 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich habe den Auslieferungszustand mit der Support-disc wiederhergestellt.
    Bisher läuft alles, allerdings gab es eine Meldung vom Echtzeitüberwacher, dass eine gewisse Vidpordno.exe gefunden und bereinigt wurde.
    Aber das System läuft jetzt.
    Ich warte mal ab, was passiert.

    Passwörterkontrolle mache ich jetzt.
     
  7. #6 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    ok soweit, mit der recoverymethode.

    du sollst deine passwörter nicht kontrollieren, sondern ÄNDERN.
    kontrollieren sollst du im kontrollzentrum deine dienste, ob da was gebucht wurde, was du selber nicht gemacht hast.

    aber wie kommt denn schon wieder eine gewisse Vidpordno.exe (vidporno) auf dein sauberes system?
    hast du irgendwelche dateien wieder eingespielt, oder irgend welche programme wieder nachinstalliert?

    mach mal bitte noch ein hijackthis,aber lege es auf den desktop ab und ändere den namen in asdf.exe anstatt hijackthis.exe. führe es dann aus.
     
  8. #7 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Mit kontrollieren meinte ich doch ändern, sorry.

    Es kann sein, dass sich der Virus noch aufs Handy übertragen hat, als er auf dem PC war und ich es angeschlossen hatte. Ich habe es mal auf Viren prüfen lassen, nichts gefunden.
    Die Meldung kam nämlich unmittelbar nach dem Anschluss des Handys, die .exe wurde wohl geblockt.

    Hier nochmal ne Logfile:
    (Ich habe die Datei wie dus gesagt hast auf dem Desktop gespeichert, aber ich kann sie hier nicht hochladen, weil exes ja nicht gehen.)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 21:22:52, on 24.11.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    C:\Programme\CA\eTrust Antivirus\InoRT.exe
    C:\Programme\CA\eTrust Antivirus\InoTask.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\wdfmgr.exe
    C:\WINDOWS\system32\wbsecsvc.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
    C:\WINDOWS\AGRSMMSG.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\PROGRA~1\CA\ETRUST~1\realmon.exe
    C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.de/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.medion.de/
    O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
    O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
    O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdorw.exe] C:\WINDOWS\system32\kdorw.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
    O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
    O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1148462577078
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148462677343
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3E40A1B7-69FD-4266-9DAE-64158A0BA715}: NameServer = 85.255.112.86;85.255.112.189
    O17 - HKLM\System\CCS\Services\Tcpip\..\{E52220C1-F654-41B3-9D76-622B953CB98D}: NameServer = 85.255.112.86;85.255.112.189
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3E40A1B7-69FD-4266-9DAE-64158A0BA715}: NameServer = 85.255.112.86;85.255.112.189
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
    O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
    O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

    --
    End of file - 6574 bytes
     
  9. #8 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Habe ich mal analysieren lassen von HiJackThis und die 3 unbekannten IPs fixen lassen.
     
  10. AdMan

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  11. #9 Ostseesand, 24.11.2008
    Ostseesand

    Ostseesand .

    Dabei seit:
    01.05.2006
    Beiträge:
    7.726
    Zustimmungen:
    0
    Hi,

    das kann ja nicht wahr sein.
    das ist das selbe spiel wie vorher.

    du hast ein echtes problem. irgendwas an malware läd dann einen trojaner herunter in
    C:\WINDOWS\system32\kdumh.exe
    C:\WINDOWS\system32\kdorw.exe
    danach wird dein system infiziert und einen namenserver eingetragen.
    alles was du am pc machst oder online erledigst, geht in die ukraine.

    PC sofort vom internet trennen !!!

    denk genau nach, was du nach der neuinstallation (recovery) so installiert hast.
    irgend was machst du, dass dein system wieder infiziert wird.
    lädst du von dubiosen seiten software runter?

    wenn du die kennwortänderunegn von diesem pc aus getätigt hast, kannst du wieder alles ändern, aber von einem sauberen pc aus.

    kannst du deinen vater oder eine andere person bitten, dieses problem anzugehen?
     
  12. #10 Billy Talent, 24.11.2008
    Billy Talent

    Billy Talent Erfahrener Benutzer

    Dabei seit:
    30.06.2007
    Beiträge:
    144
    Zustimmungen:
    0
    Ort:
    Niedersachsen
    Ich mache nochmal Recovery und dann werde ich das Handy nicht mehr anschließen.
     
Thema: Wo sitzt der Wurm?
Besucher kamen mit folgenden Suchen
  1. ulcdrsvr .exe

    ,
  2. wbsecsvc was ist das

    ,
  3. what is hpqste08 .exe

Die Seite wird geladen...

Wo sitzt der Wurm? - Ähnliche Themen

  1. Wieder Würmer unterwegs!

    Wieder Würmer unterwegs!: [edit: wegen Verstoss gegen das Urheberrecht wurde der hier vorhandene Text entfernt! Copy & Paste von fremden Eigentum wird unter...
  2. Wurm

    Wurm: Hallo Computerfreunde Ich habe ein kleines Problem mit meinem Computer Er hat einen Wurm (WORM/conficker.2.03)-Meldung von avira Er zeigt...
  3. Schutz vor Viren,Trojaner,Würmer,Conficker

    Schutz vor Viren,Trojaner,Würmer,Conficker: Hallo, In diesem Thread möchte ich euch gerne einige Möglichkeiten präsentieren mit dem ihr zu 99,99% Viren,Trojaner,Würmer,Conficker etc....
  4. [Umfrage] Wie lange sitzt ihr am Tag vor dem PC?

    [Umfrage] Wie lange sitzt ihr am Tag vor dem PC?: Wie lange sitzt ihr so am Tag vor der Flimmerkiste? // ferienzeit!
  5. Wer wurde vom Conficker-Wurm schon infiziert?

    Wer wurde vom Conficker-Wurm schon infiziert?: Hi mich interresiert mal wer hier im forum schon von dem gefüchteten Conficker wurm infizeirt wurde und was er angerichtet hat