So hallo alle zusammen,
Ich schreibe dies hier, da ich absolut am verzweifeln bin!
Eigendlich bin ich nicht derjeniege der probleme mit Viren oder dergleichen hat!
Ich benutze als Antiviren System Avira AntiVir (immer aktuellste Updates etc) und war damit auch bis jetzt sehr glücklich!
Als Firewall verwende ich die Sygate Personal Firewall.
Diese beiden Programme verwende ich seit mehreren jahren und bin bis jetzt auch sehr glücklich gewesen!
Ich überprüfe so gut wie jede Dabei mit AntiVir bevor ich sie entpacke oder ausführe. Wenn ich mir bei der Datein unsicher bin, lade ich sie meist zusätzlich bei VirusTotal - Free Online Virus and Malware Scan hoch.
So nun zu meinem Problem.
Ich habe seit gestern große probleme. Vorher noch nie etwas, was diesem ähnelt. Als erstes fiel mir auf gestern auf das sich beim anmelden, das Layout geändert hatte. Es war nicht mehr der Windos p stiel, sondern der klassische Windoes Style. An dieser Stelle habe ich mir noch nichts weiter gedacht.
Dann habe ich mich mit pw usw angemeldet und dann fing es schon an. Windows meldete mir, das ein paar datein aus Sicherheitsgründen vor Viren nicht mehr ausgeführt werden. Habe ok/schließen gedrückt (weiß nicht mehr genau was da stand ) und ich kam auf meinen Desktop, wo alles noch normal schien. Dann fragte mein Pc plötzlich ob die Winlogon.exe ins internet darf. Nach sys.zief.pl [218.93.205.24].
Hier die ganze Zeile aus der Firewall Log: (ist von heute, aber identisch mit gestern! )
4647 07/28/2009 22:15:33 Blocked 10 Outgoing TCP sys.zief.pl [218.93.205.24] 00-15-0C-42-66-0C 65520 192.168.178.67 00-23-54-61-39-1B 1699 C:\WINDOWS\system32\winlogon.exe Administrator MILLER-F0E0FC93 Normal 3 07/28/2009 22:14:21 07/28/2009 22:14:30 Ask all running apps
Natürlich habe ich das gelockt weil es mir sehr suspect vorkam!
Naja nach all diesen sachen wollte ich mir Kapersky holen und damit mein System checken da ich hörte es sei sehr gut!
Als ich auf die Homepage von kapersky ging stand da jedoch (steht jetzt wieder):
Der Server unter Kaspersky Lab: Antivirus software konnte nicht gefunden werden.
Als ob es diesen Server nicht gäbe! Allerdings kommt mein bruder zum gleichen zeitpunkt über sienen Computer auf die Homepage! Also muss irgendein Virus oder What ever die Seite geblockt haben. Dannach habe ich sämtlich andere Firewall, Antivir seiten etc durchprobiert alle geblockt! Virustotal auch. habe das einem freund geschrieben. Und er meinte nach kurzer zeit das sieht sehr nach einem Sys Fuker aus. Allerdings 10 Sec nach der nachricht mein internet komplett weg. Ich habe sämtliche lan-kabel, rooter gchecked. Mein bruder kam nioch ins internet! Als alles nichts half habe ich meinen Computer neugestartet. Dies war allerdings ein großer Fehler, was ich im nachhinein erfahren und festgestellt habe. Es kam eine meldung das irgendeine xxuser.ini aus sicherheits gründen nvor Viren nicht mehr gestartet würde. Ich klickte ok/schließen, blieb mir ja nix anderes übrig, allerdings sah ich dannach nur noch mein desktop hintergrund und sonst gar nix. In den task manager kam ich noch und da fehlten zich prozesse!
Daraufhin habe ich Meinen kompletten Computer auf eine andere festplatte ( die vorher nicht drin war! neuinstalliert ).
Der ging dann auch heute mittag wunderbar.
Ich habe Folgende Sachen heruntergeladen und auch installiert:
190.38_desktop_winxp_32bit_international_whql.exe (graka treiber von Nvidia geladen! )
avira_antivir_personal403_de.exe ( Von avia Homepage geladen! )
dotNetFx35setup.exe ( von Chip geladen! ist net Framework 3.5 )
Firefox Setup 3.5.1.exe ( ebenfalls Chip )
install_icq65.exe ( Icq Hp )
spf56.exe ( Chip, ist mein Firewall )
wlsetup-web_8064.exe ( Msn, ebenfalls Chip )
install_flash_player.exe ( von Adobe Homepage )
wrar380d.exe ( WinRar, da weiß ich grade nicht wo, glaube aber auch chip )
ccsetup221.exe ( Ccleaneer, ebenfalls Chip )
vlc-1.0.1-win32.exe ( Vlc media player, auch von Chip )
mp10setup.exe ( Windows media player 10, auch chip! )
HJTInstall202.exe ( HiJackThis auch Chip )
Teamviewer ( auch von Chip )
Virtual Desktops for Xp & Vista ( ka woher, aber hab ich auch schon sehr lange )
Dann habe ich noch folgendes Spiel von einem Kumpel, von der original Dvd installiert:
Gta 4, dies haben wir ca 2 Stunden gespielt.
Ohne Crack oder dergleichen! Sondern mit original Serial key und Dvd.
Dann gegen heut abend ging es wieder los.
Die Winlogon.exe ( ein Prozess auch ) will nach sys.zief.pl [218.93.205.24].
Also wieder der selbe scheiß! Allerdings fand mein Antivir nun lauter W32/Virut.Gen. Das ist ein Virus der sich unglaublich schnell in exen aubreiten und Backdoors öffnet!
Ich komme auch wieder nicht auf die ganzen Homepages von Avira Kapersky etc.
Und nun bin ich hier, mit diesen dicken problemen.
Ich habe sämtliche traffics von meinemn Computer aus der Firewall eyportiert und hier der Downloadlink:
File-Upload.net - Ihr kostenloser File Hoster!
Die Winlogon versucht regelmäig nach sys.zief.pl [218.93.205.24] zu kommen.
Außerdem hab ich noch einen HiJackThis Scan gemacht:
Hier das ergebnis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:16, on 28.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ping.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
O1 - Hosts: 218.93.205 218.93.205
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_04 28.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_04 28.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.3 8\international\PhysX_9.09.0428_SystemSoftware.exe "
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Virtual Desktops.lnk = C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E762EE-2D39-427A-8CC4-D37B81811E25}: NameServer = 192.168.178.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
--
End of file - 4122 bytes
Außerdem habe ich mal ein wenig weiter über die Daten nachgeschaut:
sys.zief.pl [218.93.205.24]
Das ist ein Server der in China steht! ich schätze der wird als proxy benutzt.
Außerdem bin ich nicht der einziege der ein problem mit diesen Sachen hat. Wer bei googel mal ein bisschen sucht, findet ein paar beiträge in Forenmit Hacked by 218.93.205.24 und dergleichen!
Scheint also eine größere Sache zu sein.
Nun habe ich noch ein wenig weiter gegoogelt und bin auf folgende Seite gestoßen:
cgi.mtc.sri.com/popups/binari...4dccd1177.html
Wie es scheint sind folgende Datein infiziert:
2.tmp, 3.tmp, accwiz.exe, actmovie.exe, agentsvr.exe, ahui.exe, alg.exe, arp.exe, asr_fmt.exe, asr_ldm.exe, at.exe, atmadm.exe, attrib.exe, bootcfg.exe, bootok.exe, bootvrfy.exe, cacls.exe, calc.exe, charmap.exe, chkdsk.exe, chkntfs.exe, cidaemon.exe, cipher.exe, cisvc.exe, ckcnv.exe, cleanmgr.exe, cliconfg.exe, clipbrd.exe, clipsrv.exe, cmdl32.exe, cmmon32.exe, cmstp.exe, compact.exe, comp.exe, comrepl.exe, conime.exe, control.exe, convert.exe, cscript.exe, ctfmon.exe, dcomcnfg.exe, ddeshare.exe, defrag.exe, dfrgfat.exe, dfrgntfs.exe, diantz.exe, diskpart.exe, diskperf.exe, dllhost.exe, dllhst3g.exe, dmadmin.exe, dmremote.exe, doskey.exe, dplaysvr.exe, dpnsvr.exe, dpvsetup.exe, driverquery.exe, drwtsn32.exe, dumprep.exe, dvdplay.exe, dvdupgrd.exe, dxdiag.exe, esentutl.exe, eudcedit.exe, eventcreate.exe, eventtriggers.exe, eventvwr.exe, expand.exe, extrac32.exe, fc.exe, find.exe, findstr.exe, finger.exe, fixmapi.exe, fontview.exe, forcedos.exe, freecell.exe, fsutil.exe, ftp.exe, getmac.exe, gpresult.exe, gpupdate.exe, grpconv.exe, HelpCtr.exe, help.exe, HelpHost.exe, HelpSvc.exe, hh.exe, hostname.exe, ie4uinit.exe, iexpress.exe, imapi.exe, ipconfig.exe, ipsec6.exe, ipv6.exe, ipxroute.exe, label.exe, lights.exe, lnkstub.exe, locator.exe, lodctr.exe, logagent.exe, logman.exe, logoff.exe, logon.scr, logonui.exe, lpq.exe, lpr.exe, magnify.exe, makecab.exe, migload.exe, migpwd.exe, migwiz_a.exe, migwiz.exe, mmc.exe, mnmsrvc.exe, mobsync.exe, mofcomp.exe, mountvol.exe, mplay32.exe, mpnotify.exe, mqbkup.exe, mqsvc.exe, mqtgsvc.exe, mrinfo.exe, msconfig.exe, msdtc.exe, msg.exe, mshearts.exe, mshta.exe, msiexec.exe, msoobe.exe, mspaint.exe, msswchx.exe, mstinit.exe, mstsc.exe, narrator.exe, nbtstat.exe, nddeapir.exe, net1.exe, netdde.exe, net.exe, netsetup.exe, netsh.exe, netstat.exe, NOTEPAD.EXE, notiflag.exe, nppagent.exe, nslookup.exe, ntbackup.exe, ntsd.exe, ntvdm.exe, nwscript.exe, odbcad32.exe, odbcconf.exe, oobebaln.exe, openfiles.exe, osk.exe, osuninst.exe, packager.exe, pathping.exe, pentnt.exe, perfmon.exe, ping6.exe, print.exe, progman.exe, proquota.exe, proxycfg.exe, qappsrv.exe, qprocess.exe, qwinsta.exe, rasautou.exe, rasdial.exe, rasphone.exe, rcimlby.exe, rcp.exe, rdpclip.exe, rdsaddin.exe, rdshost.exe, recover.exe, relog.exe, replace.exe, reset.exe, rexec.exe, routemon.exe, rsh.exe, rsm.exe, rsmsink.exe, rsmui.exe, rsnotify.exe, rsopprov.exe, rstrui.exe, rsvp.exe, rtcshare.exe, runas.exe, rundll32.exe, runonce.exe, rwinsta.exe, savedump.exe, scardsvr.exe, schtasks.exe, scrcons.exe, scrnsave.scr, sdbinst.exe, secedit.exe, sessmgr.exe, sethc.exe, sfc.exe, shadow.exe, shmgrate.exe, shrpubw.exe, shutdown.exe, sigverif.exe, skeys.exe, smlogsvc.exe, sndrec32.exe, sndvol32.exe, sol.exe, sort.exe, spider.exe, srdiag.exe, ss3dfo.scr, ssbezier.scr, ssflwbox.scr, ssmarque.scr, ssmypics.scr, ssmyst.scr, sspipes.scr, ssstars.scr, sstext3d.scr, stimon.exe, subst.exe, SVCHOST.EXE, syncapp.exe, syskey.exe, sysocmgr.exe, systeminfo.exe, systray.exe, taskkill.exe, tasklist.exe, taskman.exe, taskmgr.exe, tcmsetup.exe, tcpsvcs.exe, telnet.exe, tftp.exe, tlntadmn.exe, tlntsess.exe, tlntsvr.exe, tourstart.exe, tracerpt.exe, tracert6.exe, tracert.exe, tscon.exe, tscupgrd.exe, tsdiscon.exe, tskill.exe, tsshutdn.exe, twunk_32.exe, typeperf.exe, UAC8d48.tmp, UAC8db5.tmp, UAC8eee.tmp, UACd.sys, unlodctr.exe, unsecapp.exe, UploadM.exe, upnpcont.exe, ups.exe, userinit.exe, usrmlnka.exe, usrprbda.exe, usrshuta.exe, utilman.exe, verifier.exe, vssadmin.exe, vssvc.exe, w32tm.exe, wbemtest.exe, wextract.exe, wiaacmgr.exe, winhlp32.exe, winmgmt.exe, winmine.exe, winmsd.exe, winver.exe, wmiadap.exe, wmiapsrv.exe, wmic.exe, wmiprvse.exe, wmpstub.exe, wpabaln.exe, wpnpinst.exe, write.exe, wuauclt.exe, wupdmgr.exe, xcopy.exe, cmd.exe, ftpupd.exe, spoolsv.exe, UAC3238.tmp, UACe2b0.tmp, UACe2c0.tmp, uxqjudnu.exe, UAC66af.tmp, UAC66bf.tmp, UACb6b3.tmp, , 010112010146118114.dat, 0101120101464849.dat, 4.tmp, 934fdfg34fgjf23, ld12.exe, olispzj.exe, UACcb21.tmp, UACcb40.tmp, UACcd05.tmp, VRT7.tmp, UACbded.tmp, UACbe89.tmp, UACc1f4.tmp
Und Folgende Prozesse:
3.tmp, CMD.EXE, CSRSS.EXE, DLLHOST.EXE, EXPLORER.EXE, LSASS.EXE, MSMSGS.EXE, SERVICES.EXE, SPOOLSV.EXE, SVCHOST.EXE, WINLOGON.EXE, dwwin.exe, ld12.exe, pp10.exe
Mehr habe ich bis jetzt nicht rausgefunden. Ich traue mich im Moment nicht meinen Pc neuzustarten, da ich angst habe das das nächste Windows schroot ist..
Allerdings weiß ich an dieser Stelle auch nicht was ich noch machen soll.
Ich hoffe diese Vorarbeit Hilft dabei mein problem zu lösen.
mfg
Angelsboy
PS.
Sry wegen meiner Rechtschreibung, es ist schon ziemlich spät, ich bin recht schlecht drauf und habe sehr schnell getippt!
Edit:
Was ich vergessen habe 2 Minuten nachdem ich den Log mit HijackThis erstellt hatte kam eine meldung das die HijackThis.exe mit dem Virus W32/Virut.Gen infiziert sei. Kurz darauf habe ich den Task manager auch geöffnet und Antivir meldete er sei auch infiziert.
Wie gesagt das verbeitet sich unglaubtlich schnell oo
Ich schreibe dies hier, da ich absolut am verzweifeln bin!
Eigendlich bin ich nicht derjeniege der probleme mit Viren oder dergleichen hat!
Ich benutze als Antiviren System Avira AntiVir (immer aktuellste Updates etc) und war damit auch bis jetzt sehr glücklich!
Als Firewall verwende ich die Sygate Personal Firewall.
Diese beiden Programme verwende ich seit mehreren jahren und bin bis jetzt auch sehr glücklich gewesen!
Ich überprüfe so gut wie jede Dabei mit AntiVir bevor ich sie entpacke oder ausführe. Wenn ich mir bei der Datein unsicher bin, lade ich sie meist zusätzlich bei VirusTotal - Free Online Virus and Malware Scan hoch.
So nun zu meinem Problem.
Ich habe seit gestern große probleme. Vorher noch nie etwas, was diesem ähnelt. Als erstes fiel mir auf gestern auf das sich beim anmelden, das Layout geändert hatte. Es war nicht mehr der Windos p stiel, sondern der klassische Windoes Style. An dieser Stelle habe ich mir noch nichts weiter gedacht.
Dann habe ich mich mit pw usw angemeldet und dann fing es schon an. Windows meldete mir, das ein paar datein aus Sicherheitsgründen vor Viren nicht mehr ausgeführt werden. Habe ok/schließen gedrückt (weiß nicht mehr genau was da stand ) und ich kam auf meinen Desktop, wo alles noch normal schien. Dann fragte mein Pc plötzlich ob die Winlogon.exe ins internet darf. Nach sys.zief.pl [218.93.205.24].
Hier die ganze Zeile aus der Firewall Log: (ist von heute, aber identisch mit gestern! )
4647 07/28/2009 22:15:33 Blocked 10 Outgoing TCP sys.zief.pl [218.93.205.24] 00-15-0C-42-66-0C 65520 192.168.178.67 00-23-54-61-39-1B 1699 C:\WINDOWS\system32\winlogon.exe Administrator MILLER-F0E0FC93 Normal 3 07/28/2009 22:14:21 07/28/2009 22:14:30 Ask all running apps
Natürlich habe ich das gelockt weil es mir sehr suspect vorkam!
Naja nach all diesen sachen wollte ich mir Kapersky holen und damit mein System checken da ich hörte es sei sehr gut!
Als ich auf die Homepage von kapersky ging stand da jedoch (steht jetzt wieder):
Der Server unter Kaspersky Lab: Antivirus software konnte nicht gefunden werden.
Als ob es diesen Server nicht gäbe! Allerdings kommt mein bruder zum gleichen zeitpunkt über sienen Computer auf die Homepage! Also muss irgendein Virus oder What ever die Seite geblockt haben. Dannach habe ich sämtlich andere Firewall, Antivir seiten etc durchprobiert alle geblockt! Virustotal auch. habe das einem freund geschrieben. Und er meinte nach kurzer zeit das sieht sehr nach einem Sys Fuker aus. Allerdings 10 Sec nach der nachricht mein internet komplett weg. Ich habe sämtliche lan-kabel, rooter gchecked. Mein bruder kam nioch ins internet! Als alles nichts half habe ich meinen Computer neugestartet. Dies war allerdings ein großer Fehler, was ich im nachhinein erfahren und festgestellt habe. Es kam eine meldung das irgendeine xxuser.ini aus sicherheits gründen nvor Viren nicht mehr gestartet würde. Ich klickte ok/schließen, blieb mir ja nix anderes übrig, allerdings sah ich dannach nur noch mein desktop hintergrund und sonst gar nix. In den task manager kam ich noch und da fehlten zich prozesse!
Daraufhin habe ich Meinen kompletten Computer auf eine andere festplatte ( die vorher nicht drin war! neuinstalliert ).
Der ging dann auch heute mittag wunderbar.
Ich habe Folgende Sachen heruntergeladen und auch installiert:
190.38_desktop_winxp_32bit_international_whql.exe (graka treiber von Nvidia geladen! )
avira_antivir_personal403_de.exe ( Von avia Homepage geladen! )
dotNetFx35setup.exe ( von Chip geladen! ist net Framework 3.5 )
Firefox Setup 3.5.1.exe ( ebenfalls Chip )
install_icq65.exe ( Icq Hp )
spf56.exe ( Chip, ist mein Firewall )
wlsetup-web_8064.exe ( Msn, ebenfalls Chip )
install_flash_player.exe ( von Adobe Homepage )
wrar380d.exe ( WinRar, da weiß ich grade nicht wo, glaube aber auch chip )
ccsetup221.exe ( Ccleaneer, ebenfalls Chip )
vlc-1.0.1-win32.exe ( Vlc media player, auch von Chip )
mp10setup.exe ( Windows media player 10, auch chip! )
HJTInstall202.exe ( HiJackThis auch Chip )
Teamviewer ( auch von Chip )
Virtual Desktops for Xp & Vista ( ka woher, aber hab ich auch schon sehr lange )
Dann habe ich noch folgendes Spiel von einem Kumpel, von der original Dvd installiert:
Gta 4, dies haben wir ca 2 Stunden gespielt.
Ohne Crack oder dergleichen! Sondern mit original Serial key und Dvd.
Dann gegen heut abend ging es wieder los.
Die Winlogon.exe ( ein Prozess auch ) will nach sys.zief.pl [218.93.205.24].
Also wieder der selbe scheiß! Allerdings fand mein Antivir nun lauter W32/Virut.Gen. Das ist ein Virus der sich unglaublich schnell in exen aubreiten und Backdoors öffnet!
Ich komme auch wieder nicht auf die ganzen Homepages von Avira Kapersky etc.
Und nun bin ich hier, mit diesen dicken problemen.
Ich habe sämtliche traffics von meinemn Computer aus der Firewall eyportiert und hier der Downloadlink:
File-Upload.net - Ihr kostenloser File Hoster!
Die Winlogon versucht regelmäig nach sys.zief.pl [218.93.205.24] zu kommen.
Außerdem hab ich noch einen HiJackThis Scan gemacht:
Hier das ergebnis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:14:16, on 28.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ping.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
O1 - Hosts: 218.93.205 218.93.205
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_04 28.MSI" TRANSFORMS="C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISB83FC356B7C0441F8A4DD71E088E7974_9_09_04 28.MST" WISE_SETUP_EXE_PATH="c:\nvidia\displaydriver\190.3 8\international\PhysX_9.09.0428_SystemSoftware.exe "
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Virtual Desktops.lnk = C:\Programme\Vista & XP Virtual Desktops\Virtual Desktops.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F3E762EE-2D39-427A-8CC4-D37B81811E25}: NameServer = 192.168.178.1
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
--
End of file - 4122 bytes
Außerdem habe ich mal ein wenig weiter über die Daten nachgeschaut:
sys.zief.pl [218.93.205.24]
Das ist ein Server der in China steht! ich schätze der wird als proxy benutzt.
Außerdem bin ich nicht der einziege der ein problem mit diesen Sachen hat. Wer bei googel mal ein bisschen sucht, findet ein paar beiträge in Forenmit Hacked by 218.93.205.24 und dergleichen!
Scheint also eine größere Sache zu sein.
Nun habe ich noch ein wenig weiter gegoogelt und bin auf folgende Seite gestoßen:
cgi.mtc.sri.com/popups/binari...4dccd1177.html
Wie es scheint sind folgende Datein infiziert:
2.tmp, 3.tmp, accwiz.exe, actmovie.exe, agentsvr.exe, ahui.exe, alg.exe, arp.exe, asr_fmt.exe, asr_ldm.exe, at.exe, atmadm.exe, attrib.exe, bootcfg.exe, bootok.exe, bootvrfy.exe, cacls.exe, calc.exe, charmap.exe, chkdsk.exe, chkntfs.exe, cidaemon.exe, cipher.exe, cisvc.exe, ckcnv.exe, cleanmgr.exe, cliconfg.exe, clipbrd.exe, clipsrv.exe, cmdl32.exe, cmmon32.exe, cmstp.exe, compact.exe, comp.exe, comrepl.exe, conime.exe, control.exe, convert.exe, cscript.exe, ctfmon.exe, dcomcnfg.exe, ddeshare.exe, defrag.exe, dfrgfat.exe, dfrgntfs.exe, diantz.exe, diskpart.exe, diskperf.exe, dllhost.exe, dllhst3g.exe, dmadmin.exe, dmremote.exe, doskey.exe, dplaysvr.exe, dpnsvr.exe, dpvsetup.exe, driverquery.exe, drwtsn32.exe, dumprep.exe, dvdplay.exe, dvdupgrd.exe, dxdiag.exe, esentutl.exe, eudcedit.exe, eventcreate.exe, eventtriggers.exe, eventvwr.exe, expand.exe, extrac32.exe, fc.exe, find.exe, findstr.exe, finger.exe, fixmapi.exe, fontview.exe, forcedos.exe, freecell.exe, fsutil.exe, ftp.exe, getmac.exe, gpresult.exe, gpupdate.exe, grpconv.exe, HelpCtr.exe, help.exe, HelpHost.exe, HelpSvc.exe, hh.exe, hostname.exe, ie4uinit.exe, iexpress.exe, imapi.exe, ipconfig.exe, ipsec6.exe, ipv6.exe, ipxroute.exe, label.exe, lights.exe, lnkstub.exe, locator.exe, lodctr.exe, logagent.exe, logman.exe, logoff.exe, logon.scr, logonui.exe, lpq.exe, lpr.exe, magnify.exe, makecab.exe, migload.exe, migpwd.exe, migwiz_a.exe, migwiz.exe, mmc.exe, mnmsrvc.exe, mobsync.exe, mofcomp.exe, mountvol.exe, mplay32.exe, mpnotify.exe, mqbkup.exe, mqsvc.exe, mqtgsvc.exe, mrinfo.exe, msconfig.exe, msdtc.exe, msg.exe, mshearts.exe, mshta.exe, msiexec.exe, msoobe.exe, mspaint.exe, msswchx.exe, mstinit.exe, mstsc.exe, narrator.exe, nbtstat.exe, nddeapir.exe, net1.exe, netdde.exe, net.exe, netsetup.exe, netsh.exe, netstat.exe, NOTEPAD.EXE, notiflag.exe, nppagent.exe, nslookup.exe, ntbackup.exe, ntsd.exe, ntvdm.exe, nwscript.exe, odbcad32.exe, odbcconf.exe, oobebaln.exe, openfiles.exe, osk.exe, osuninst.exe, packager.exe, pathping.exe, pentnt.exe, perfmon.exe, ping6.exe, print.exe, progman.exe, proquota.exe, proxycfg.exe, qappsrv.exe, qprocess.exe, qwinsta.exe, rasautou.exe, rasdial.exe, rasphone.exe, rcimlby.exe, rcp.exe, rdpclip.exe, rdsaddin.exe, rdshost.exe, recover.exe, relog.exe, replace.exe, reset.exe, rexec.exe, routemon.exe, rsh.exe, rsm.exe, rsmsink.exe, rsmui.exe, rsnotify.exe, rsopprov.exe, rstrui.exe, rsvp.exe, rtcshare.exe, runas.exe, rundll32.exe, runonce.exe, rwinsta.exe, savedump.exe, scardsvr.exe, schtasks.exe, scrcons.exe, scrnsave.scr, sdbinst.exe, secedit.exe, sessmgr.exe, sethc.exe, sfc.exe, shadow.exe, shmgrate.exe, shrpubw.exe, shutdown.exe, sigverif.exe, skeys.exe, smlogsvc.exe, sndrec32.exe, sndvol32.exe, sol.exe, sort.exe, spider.exe, srdiag.exe, ss3dfo.scr, ssbezier.scr, ssflwbox.scr, ssmarque.scr, ssmypics.scr, ssmyst.scr, sspipes.scr, ssstars.scr, sstext3d.scr, stimon.exe, subst.exe, SVCHOST.EXE, syncapp.exe, syskey.exe, sysocmgr.exe, systeminfo.exe, systray.exe, taskkill.exe, tasklist.exe, taskman.exe, taskmgr.exe, tcmsetup.exe, tcpsvcs.exe, telnet.exe, tftp.exe, tlntadmn.exe, tlntsess.exe, tlntsvr.exe, tourstart.exe, tracerpt.exe, tracert6.exe, tracert.exe, tscon.exe, tscupgrd.exe, tsdiscon.exe, tskill.exe, tsshutdn.exe, twunk_32.exe, typeperf.exe, UAC8d48.tmp, UAC8db5.tmp, UAC8eee.tmp, UACd.sys, unlodctr.exe, unsecapp.exe, UploadM.exe, upnpcont.exe, ups.exe, userinit.exe, usrmlnka.exe, usrprbda.exe, usrshuta.exe, utilman.exe, verifier.exe, vssadmin.exe, vssvc.exe, w32tm.exe, wbemtest.exe, wextract.exe, wiaacmgr.exe, winhlp32.exe, winmgmt.exe, winmine.exe, winmsd.exe, winver.exe, wmiadap.exe, wmiapsrv.exe, wmic.exe, wmiprvse.exe, wmpstub.exe, wpabaln.exe, wpnpinst.exe, write.exe, wuauclt.exe, wupdmgr.exe, xcopy.exe, cmd.exe, ftpupd.exe, spoolsv.exe, UAC3238.tmp, UACe2b0.tmp, UACe2c0.tmp, uxqjudnu.exe, UAC66af.tmp, UAC66bf.tmp, UACb6b3.tmp, , 010112010146118114.dat, 0101120101464849.dat, 4.tmp, 934fdfg34fgjf23, ld12.exe, olispzj.exe, UACcb21.tmp, UACcb40.tmp, UACcd05.tmp, VRT7.tmp, UACbded.tmp, UACbe89.tmp, UACc1f4.tmp
Und Folgende Prozesse:
3.tmp, CMD.EXE, CSRSS.EXE, DLLHOST.EXE, EXPLORER.EXE, LSASS.EXE, MSMSGS.EXE, SERVICES.EXE, SPOOLSV.EXE, SVCHOST.EXE, WINLOGON.EXE, dwwin.exe, ld12.exe, pp10.exe
Mehr habe ich bis jetzt nicht rausgefunden. Ich traue mich im Moment nicht meinen Pc neuzustarten, da ich angst habe das das nächste Windows schroot ist..
Allerdings weiß ich an dieser Stelle auch nicht was ich noch machen soll.
Ich hoffe diese Vorarbeit Hilft dabei mein problem zu lösen.
mfg
Angelsboy
PS.
Sry wegen meiner Rechtschreibung, es ist schon ziemlich spät, ich bin recht schlecht drauf und habe sehr schnell getippt!
Edit:
Was ich vergessen habe 2 Minuten nachdem ich den Log mit HijackThis erstellt hatte kam eine meldung das die HijackThis.exe mit dem Virus W32/Virut.Gen infiziert sei. Kurz darauf habe ich den Task manager auch geöffnet und Antivir meldete er sei auch infiziert.
Wie gesagt das verbeitet sich unglaubtlich schnell oo
