bin ich befallen?

Hallo...und einen schönene Nachmittag.

Ich bin neu hier im Forum. Ich haette eine kurze Frage. Ich hab die dumpfe vermutung dass mein Rechner von irgendetwas befallen ist, bin mir aber net sicher. Wie könnt ich das checken.

Hier schonmal die Hijack log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20:35, on 27.09.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16711)
Boot mode: Normal

Running processes:
Logdatei entfernt, Logs bitte entsprechend der Anleitung im Sticky verlinken - Rattiberta
--
End of file - 8721 bytes

 

Code:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Monitor] C:\Windows\Philips\SPC220NC\Monitor.exe
Unbekannt
O4 - HKCU\..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKLM\..\Policies\Explorer\Run: [XDCKbwCTRn] C:\ProgramData\zuzenspk\pqhqpmfy.exe

Bitte fixen!
http://members.linzag.net/680262/HJT/HijackThis.html
HijackThis Bildanleitung und Download
http://virus-protect.org/hjtkurz.html
Hijackthis - deutsche Anleitung

ps: Bitte nicht das komplette HJT-Log im Textfeld posten! Da holt man sich den Scroll-Wolf
>>>>>>> http://www.pcwelt.de/forum/sicherhe...r-rootkits/134046-posten-hijackthis-logs.html
Hijackthis-Log nur als Text-Datei im Anhang!

 

Ist wohl ein Fall für einen Exorzisten.

Nervt der Windows Update AutoUpdate Client nicht, weil noch kein SP1 installiert ist?

Bedenke, dass HijackThis in einem eigenen Ordner laufen muss. Nur so können Backups erstellt werden! Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe

Browser Hijacker, im abgesicherten Modus fixen:

Code:

O4 - HKLM\..\Run: [Monitor] C:\Windows\Philips\SPC220NC\Monitor.exe
O4 - HKCU\..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKLM\..\Policies\Explorer\Run: [XDCKbwCTRn] C:\ProgramData\zuzenspk\pqhqpmfy.exe

Was bedeutet Fixen ?
http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

Weiterhin kann gefixt werden: (Einträge betreffen den IE)

Code:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe

 

danke fuer die antworten, werd unverzueglich mit dem fixen anfange. sobal ich bei der anleitung den durchblich habe :P

was sind das denn fuer ganze dateien die gefixt werden...und fall fuer den exorzisten...heisst das mein rechner ist ein sicherheitsproblem?

also mach ich mich ma an die arbeit

 

soooo, das ist dabei rausgekommen. Leider konn ich nicht alles fixen.

die hijack datei muesste im anhang sein

 

Die Einträge, die mike_kilo und ich (im ersten Kasten) genannte haben, sind Autostarteinträge von Browser Hijacker, die den IE auf andere Seiten umleiten.
Die Einträge, die ich zusätzlich im großen Kasten gepostet habe, wirken sich auf den IE aus.
Im einzelnen, sind das folgende
http://www.cidres-security.de/hjt_tutorial.html

O1 - Hosts: ::1 localhost
ist für das IPv6-Protokoll
http://de.wikipedia.org/wiki/IPv6

 

ah ok..irgendwie versteh ich teils bahnhof..aber ne paar sachen verstehe ich...glaub ich zumindest. Du hast ja gemeint mein rechner sei ein fall fuer den exorzisten, deswegen hatte ich auch gefragt ob da ein sicherheitsrisiko besteht, sprich kein onlinebankin oder ebay?

 

kein onlinebankin oder ebay?

Lieber nicht, solange noch ein Schädling aktiv ist. Wer weiß, was im Hintergrund alles aufgezeichnet und weitergemeldet werden kann?

 

Ähem... im Anhang? Es existiert keiner...
So wirds gemacht >

 

guten morgen,

danke fuer den tip.

et voila jetzt muesst es geklappt ham!!

 

Die Schadlinge sind noch da.
Systemwiederherstellung deaktivieren,
PC im abgesicehrten Modus starten,
Prozesse im Taskmanager deaktivieren (falls vorhanden)
-Monitor.exe
-pqhqpmfy.exe
-p2phost.exe
Temporäre Dateien löschen
http://forum.hijackthis.de/showthread.php?t=22182
Mit Hijackthis fixen
O4 - HKLM\..\Run: [Monitor] C:\Windows\Philips\SPC220NC\Monitor.exe
O4 - HKCU\..\Run: [CollaborationHost] C:\Windows\system32\p2phost.exe -s
O4 - HKLM\..\Policies\Explorer\Run: [XDCKbwCTRn] C:\ProgramData\zuzenspk\pqhqpmfy.exe
Pc Neu starten

 

Hallo lolli85

Das SP1 für Vista fehlt.

Gruß
Nevok

 

im sicherheitsmodus?

das ueberfordert mich nen bissl...gibts vielleicht ne anleitung dazu?

und zu nevok...soll ich SP jetzt installiert

danke fuer die ganzenantworten

 

Von Sicherheitsmodus hat hier keiner etwas gesagt.

http://www.bsi.bund.de/av/texte/wiederher.htm

 

hehehe...richtg systemwiederherstellung...sorry...setz mich dann ran.

Kann ich die beschreibung fuer xp benutzen? Habe selber vista

 

habs gefunden werde jetzt loslegen...bis gleich!!

 

et voila

warte auf weitere anweisungen

 

Es scheint geklappt zu haben.
Jetzt kannst du sicherstellen, dass nicht noch einmal so etwas passiert.
Das fängt beim Windows Update an (SP1 und nachfolgende Sicherheitspatches).
Office und die andere installierte Software muss auch auf dem neusten Stand gebracht werden.

 

Erst mal danke fuer die hammer Hilfe!!!

Wo kann ich denn diese ganze Software runterladen. SP1 wahrscheinlich bei micrsosft. Office wahrscheinlich auch...welche sonst noch?

Und bist du jetzt der Auffassung dass ich wieder in Ruhe die ganzen Sachen machen kann wie onlinebanking und so weiter. keine sorge ich weiss das man nie ne 100% Antwort kriegen kann...nur eine einschaetzung haette ich gerne. Sorry das ich da so nachfrage.

Nochmals vielen vieln Dank!!!

 

http://v4.windowsupdate.microsoft.com/de/default.asp
http://office.microsoft.com/de-at/downloads/default.aspx
http://www.wintotal.de/softw/?id=4664