Virus?

high!
ich glaube ich bin infiziert!!
trotz avast und ad-aware hat es jemand geschafft,glaube ich!
könnt ihr euch das mal anschauen,bin absoluter laie!
vielen dank im voraus,
BOG
Logfile of HijackThis v1.99.1

gelöscht (siehe Hinweis von User Steppl)

Überschrift geändert

fidel_castro

 

Beachte bitte die FAQ bezüglich deiner Überschrift und den im Virenboard oben angepinnten Thread zum Thema "Hijackthis-Logs". Ändere deinen Beitrag bitte dahingehend ab.

BTW: Wenn du einen Verdacht (AV-Meldung???) hast, lass' uns nicht dumm sterben und 'rumraten, schreibe was dazu.

 

Ich weiß nicht wie es euch geht, aber mir komme folgende Prozesse Spanisch vor:

D:\Programme\Tor\tor.exe
D:\Programme\TorCP\torcp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\Programme\Privoxy\privoxy.exe

Wenn ihr wisst was das für Prozesse sind, lasst es mich bitte wissen.

 

Ich weigere mich, auch nur eine Zeile des Logs zu lesen,solange der Beitrag/Thread nicht gewisse Mindestanforderungen erfüllt.

 

Könnte stimmen, nach dem Aussehen deines Avatars.

Könnte der "jemand" du selbst gewesen sein?

Meistens bekommt man etwas ab, wenn das Betriebssystem nicht vollständig gepatched ist, Sicherheitssoftware blind vertraut wird, Dateianhänge und unbekannte ausführbare Dateien ohne Überprüfung auf Malware ausgeführt werden, man sich mit unzureichenden Einstellungen der Internetoptionen auf fragwürigen Webseiten herumtreibt oder auf entsprechde Links klickt, Filesharing betreibt, der Messenger oder ähnliche Programme mit Netzzugriff ständig aktiv und veraltet sind und Software und Tools benutzt werden, die besonders angreifbar sind.

 

Betriebssystem Microsoft Windows XP Home Edition 5.1.2600 (WinXP Retail)

Computer:
Betriebssystem Microsoft Windows XP Home Edition
OS Service Pack Service Pack 2
DirectX 4.09.00.0904 (DirectX 9.0c)
Computername ....
Benutzername .....

Motherboard:
CPU Typ Mobile Intel Pentium M 725J, 1600 MHz (16 x 100)
Motherboard Name Asus A6000Va Series Notebook
Motherboard Chipsatz Intel Alviso i915PM
Arbeitsspeicher 512 MB (DDR2-533 DDR2 SDRAM)
BIOS Typ AMI (09/20/05)
Anschlüsse (COM und LPT) ECP-Druckeranschluss (LPT1)

Anzeige:
Grafikkarte ATI MOBILITY RADEON X700 (64 MB)
Grafikkarte ATI MOBILITY RADEON X700 (64 MB)
3D-Beschleuniger ATI Mobility Radeon X700 (M26-X)
Monitor Plug und Play-Monitor [NoDB]

Multimedia:
Soundkarte Intel 82801FBM ICH6-M - High Definition Audio Controller [B-2]

Datenträger:
IDE Controller Intel(R) 82801FB/FBM Ultra ATA Storage Controllers - 266F
IDE Controller Ricoh Memory Stick Bus Host Adapter
IDE Controller Ricoh SD Bus Host Adapter
Festplatte FUJITSU MHV2080AT PL (80 GB, 4200 RPM, Ultra-ATA/100)
Optisches Laufwerk TSSTcorp CD/DVDW TS-L532U (DVD+R9:2.4x, DVD+RW:8x/4x, DVD-RW:8x/4x, DVD-ROM:8x, CD:24x/10x/24x DVD+RW/DVD-RW)
S.M.A.R.T. Festplatten-Status OK

Partitionen:
C: (FAT32) 44685 MB (14519 MB frei)
D: (FAT32) 29699 MB (11443 MB frei)
Speicherkapazität 72.6 GB (25.4 GB frei)

Eingabegeräte:
Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Maus Microsoft PS/2-Maus

Netzwerk:
Netzwerkkarte Intel(R) PRO/Wireless 2200BG Network Connection (192.168.178.50)
Netzwerkkarte Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
Modem HDAUDIO SoftV92 Data Fax Modem with SmartCP

netzteil:
model sadp-65kb b
input: 100-240 1.5A 50-60Hz
output: 19V 3.42A

langt euch das??
tut mir leid,glaubte hier schon mal ne highjack this logfile gesehen zu haben!

wäre weiterhin dankbar für hilfe!

 

Du sollst dein HijackThis-Log als Link zur Auswertung angeben, nicht das komplette Log direkt im Thread einfügen. Wozu ist dieser Thread wohl oben im Forum angepinnt:
http://www.pcwelt.de/forum/thread134046.html

Kurzfassung:
Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.

 

*meld* da wäre noch was..
Welche Meldung o.ä. gab dir Anlass zu der Vermutung mit der Infektion? AV-Meldung mit Virenname, Datei und Pfad?

 

http://www.hijackthis.de/logfiles/a2cd5d4e5b2c17f368bb3ba69a1a09e8.html

vor drei tagen hatte ich schon das gefühl und habe mit avast gescannt!
meldung virus oder wurm erkannt,namen hab ich vergessen(ich depp!!)
habe in "ausführen" "msconfig" bei system start babylon deaktiviert,seitdem meldung bei t-dsl speed manager,icq und andere wenn ich sie starten will diese meldung von ad-aware:

WARNING:
an attempt to alter a protected object has been detected
(attempt to add a registry value)
root:HKEY_current_user
key:software/microsoft/windows/currentversion/run once
value icq lite
data:
new data: c:/programme/icqlite/icqlite.exe-trayboot

 

im logfile tauchen einige daten auf,die ich deinstallierte!
mywebsearch,sequilizer!
preispiraten heute deinstalliert
was Tor ist,wisst ihr ja,oder?!

leute,nicht jeder ist so perfekt,ich bin absoluter laie!
deshalb könnte so mancher nen netteren tonfall aneignen!
für was die faq "nettiquette" wenn man direkt angefahren wird,wenn man mal nen fehler macht?!
think about!
ich steh wegen diesem sch... voll unter strom!
könnt ihr euch als profis nicht vorstellen??

p.s.:ich benutze firefox,nicht IE!

mfg,BOG

 

der virus fand ich am 16.04.06 hieß: Uruguay

davor am 17.3:trojaner 1403 und etwas spyware,alles sofort erkannt
auf der seite 1 findet ihr den nötigen ling zu highjack

 

Am besten machst du alle BHOs (Browser Helper Objekts) weg.
Die laufen nur im IE und können unbemerkt Daten senden und zusätzliche Komponenten runterladen udn installieren, da sie dafür den IE mit dessen Interneteinstellungen benutzen.
Die meisten Toolbars sind auch für den IE.
Nur die, die du für den Firefox installiert hast, solltest du behalten. Welche das sind, kann ich nicht sagen, da ich noch nie BHOs und Toolbars auf meinem PC geduldet habe.
Meiner Meinung nach stellen sie eine ständige Schwachstelle dar, die ausgenutzt werden kann.

löschen:

O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRfox000

Was verbirgt sich hinter

C:\Program Files\Sequelizer\dlg.html ?

Das würde ich mal auf Verdacht löschen:

O18 - Filter: text/html - (no CLSID) - (no file)

Wenn Hijackthis in ein Verzeichnis entpackt wurde, werden gelöschte Einträge zum Wiederherstellen gespeichert.

Im Moment befindet es sich unter \dokumente und einstellungen\Benutzername\desktop

Da würde ich es nicht lassen, sondern in ein eigenes Verzeichnis stecken.

 

danke!
schon passiert!
hab mich eben mal etwas in highjack this reingebohrt!
echt cooles program!
was allerdings komisch ist,daß ich mywebsearch und sequilizer schon länger gelöscht habe!

weiß jemand was es mit meinem ad-aware und dem hkey ... auf sich hat?
soll ich akzeptieren oder blocken?

wie oder wo lösche ich:
018-filter: text/html - (no clsid)-(no file) ???

 

http://www.trojaner-board.de/showthread.php?t=17493

 

high!
also,mein laptop läuft total stabil und alles funktioniert tadellos!!
das einzige was mir eigentlich sorgen macht ist ad-aware mit:

habe in "ausführen" "msconfig" bei system start babylon deaktiviert,seitdem meldung bei t-dsl speed manager,icq und andere wenn ich sie starten will diese meldung von ad-aware:

WARNING:
an attempt to alter a protected object has been detected
(attempt to add a registry value)
root:HKEY_current_user
key:software/microsoft/windows/currentversion/run once
value icq lite
data:
new data: c:/programme/icqlite/icqlite.exe-trayboot

oder hab ich das selbst verursacht und alles ist o.k.??

und wie komme ich bei XP in den abgesicherten modus (lol)?

kann mir hier jemand helfen??
mfg,BOG

 

Du hast offenbar mehr als nur Babylon deaktiviert. Und jetzt versuchen andere Programme ihre normalen Autostart-Einträge wiederherzustellen.

Das kannst du natürlich zulassen.

Beim Start F8 drücken.

 

vieleb,vielen dank!
dann ist bei mir alles o.k.,und habe wieder was gelernt!
ja,es waren drei einträge,die ich deaktiviert habe!

@the doctor!
es tut mir leid,daß ich euch gestern etwas verärgerte!
ich war total fladdrig,und hab mir halt nicht die zeit genommen,
die "wichtig" threads zu lesen!
sorry for it!
BOG

 

eine frage noch:
wie deaktiviere ich den IE ??

BOG

 

Freut mich dass du es eingesehn hast und dich entschuldigst, das machen die wenigsten.

Und nimms nicht persöhnlich, richtig "geärgert" hab ich mich eh net. Es ist mehr eine Resignation. Da werden hilfreiche Threads geschrieben und schön sichtbar oben angepinnt, und dann werden sie regelmäßig übersehn. Da darfst du den Leuten hier ihre Reaktion natürlich nicht übel nehmen.

Einfach nicht mehr verwenden...
Komplett deinstallieren sollte man ihn eh net, oder was meinst du genau mit "deaktivieren"?

 

Den IE kann man nicht deaktivieren.