Beiträge von chip

ja.. werde ich wohl tun müssen .. sind aber an die 20 GB an programmen und treibern und ganzen einstellungen die zum teil von hand gemacht wurden.. das sind die sachen die ungerne so einfach aufgeben will... aber naja.
müsste mir noch ganze updates für XP die seit sp2 raus sind noch organisieren, gehe nie mehr ohne .. alles ist mit viel zeit verbunen die ich nicht habe.. naja....... trotdem danke!

Hallo,
nach einigen Tagen und einigen Scans mit diversen Tools, habe ich noch ein paar trojaner gefunde, ein paar verdächtige einträge und dateien .. aber das wärs auh .. as problem dass ntoskrnl.exe sich "vermehrt" ist aber immer noch da .. von würmern und trojanern ist nichts zu sehen .. dank meiner doppel firewall lösung :-D:-D bekomme ih jede einzelne verbindung mit details angezeigt und jede datei mus erstma vonmir genehmigung einholen befor es starten darf oder gar ins netz soll..
daher bin ich mir sicher das es am eintrojaer en kann .. ein verdacht kommt uf dass da irgendwo in den tiefen des registrys einen oder 2 oder mhr inträge gibt die durch das fehlen von irgenwas (einer verseuchten datei oder einer funktion die ich abgstellt habe) einfach es ständig versuchen etwas zu starten .. und dann kommt das mit 1000 mal ntoskrnl .. aufgefaln it nur dass simme dann komm nch dem ich ns netzt gehe ..bleibe ich off passiert nichts .. also etwas was an die funktonen eines troaners hinweisst.

gruß
Chip

hmm .. habe alles entfern und diese accoona ding auch .. jetzt nur ma neustarten .. und dann mal sehen ... es waren nur so toolbars gemeldet.. und ein par viren .. evt.war auch noch ein wurm dabei.. aber davon ist jetz keine spur.. ich versuche ma neu zu starten und noch mal mit antivirus drüber gehen .. schreib morgen oder später was draus geworden ist.

Hier der Log:
Logfile of HijackThis v1.99.1
Scan saved at 20:08:18, on 28.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Sygate\SPF\Smc.exe
F:\WINDOWS\system32\spoolsv.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\Fast.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\T-DSL SpeedManager\SpeedMgr.exe
F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
F:\Programme\FreePDF_XP\fpassist.exe
F:\Programme\securepc project 2005\SecurePC.SecurityCenter.exe
F:\Programme\T-DSL SpeedManager\tsmsvc.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\securepc project 2005\SecurePC.Protector.exe
F:\Programme\Mozilla Thunderbird\thunderbird.exe
F:\Dokumente und Einstellungen\em\Eigene Dateien\tools\winlirc-0.6.5\winlirc.exe
F:\Programme\Sesam.tv\IRAssistant\IRAssistant.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\DOKUME~1\em\LOKALE~1\Temp\~AceTemp\HijackThis1991\HijackThis1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.accoona.com/search_assista…mpaign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.accoona.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.accoona.com/search_assista…mpaign=wdz0605a
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.accoona.com/search?q=%s
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: Shell=
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - F:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: Accoona Search Assistant - {944864A5-3916-46E2-96A9-A2E84F3F1208} - F:\Programme\Accoona\ASearchAssist.dll (file missing)
O4 - HKLM\..\Run: [SmcService] F:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [atwtusb] RUNDLL32 FuncKey.DLL,ExtFuncCall AA
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CHotkey] TrustKB.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [AVG7_CC] F:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [FreePDF Assistant] F:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [securepc project SecurityCenter] "F:\Programme\securepc project 2005\SecurePC.SecurityCenter.exe" /systemstartup
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://F:\Programme\Desktop Sidebar\http://sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINDOWS\System32\msjava.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - F:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: (no name) - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - F:\WINDOWS\system32\ms.exe (file missing)
O9 - Extra 'Tools' menuitem: MaxSpeed - {120E090D-9136-4b78-8258-F0B44B4BD2AC} - F:\WINDOWS\system32\ms.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .UVR: F:\Programme\Internet Explorer\Plugins\NPUPano.dll
O12 - Plugin for .xml: F:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: RaptisoftGameLoader - http://www.raptisoft.com/webgames/raptisoftgameloader.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/…t/c381/chat.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt1_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/…v45/yacscom.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://207.188.7.150/0874bb460bcf30…RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1123664459203
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedCo…n/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat…b?1123664446703
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - F:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /Service (file missing)
O23 - Service: Compuware Distributed Analyzer Service - Compuware Corporation - F:\PROGRA~1\COMPUW~1\DEVPAR~1\DISTRI~1\DASVCNT.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - F:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe" /Service (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - F:\WINDOWS\system32\SLEE81.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - F:\Programme\Sygate\SPF\Smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - F:\Programme\T-DSL SpeedManager\tsmsvc.exe

Habe aber nix gefunden was verdächtig erscheint...

Die Offene Ports (von den Normalen 445 abgesehen):
1287
1565
1569
2083
2778
2986
2991
4231
4495
4499
4633

Muss nebenbei sagen habe 2 Netzwerkarten.

könnte ja sein dass die Datei einfach verändert wurden .. oder die Treiber von Wlan karte spinnen ein wenig..

Also ganz ehrlich zu sein kenne ich mit Linux sogar etwas besser aus,
bin aber viel mehr auf Windows Programme angewiesen, arbeite schon seit Jahren parallen an beiden Systemen.
Das mit Hijackthis seh ich ma noch ma an ..
hatte ja auch schon haufenweise Probleme mit dem System alles problemmlos hin bekomme.. nur das Problem das ich jetz habe kann ich mir im momment nicht erklären, google gibt auch nicht viel her.. dacht nur jmd. kennt das..

jaja ich warte noch paar tage,
also ich hatte ein Setup Programm dass von meinem Antivirus wahrscheinlich nicht direkt erkannt wurde da es verpackt war. bei der installation spracnge direkt beide Antiviren in monitor mods an, allerdings hatte ich probleme die Sache zu löschen wie es bei so dingern ja immer der fall ist. habs abber alles wegbekommen mit AVG und Kaspersky auserdem danach noch Spybot drüberlaufen gelassen (alles auf neustem Stand) es könnte aber dennoch sein dass es etwas in Registry verändert wurde oder in einer datei, weiss nicht genau. Und bei Wlan Karte hatte ich probleme mit Treiber habe es aber gelöst... daher könnte es noch kommen. Beim Sygate Firewall habe ich die Datei sicherheits halber blockiert.
Jetz schaue ich mir die Internen Sachen im System genauer durch.

Danke,

also neu aufgesetzt habe ich es nicht..das ist gerade die sache die ich nicht so wirklich verstehe, bin grade dabei alles genauer unter die lupe zu nehmen...
dachte nur jmd. kennt das Problem schon.

naja .. dann versuche ich die datei mal von der cd wiederherzustellen.. wenns nicht klappt steige ich auf linux um nerft nur dass es ständig so viel ports aufgemacht werden..

Hallo,
habe seit ein par tagen ein problem mit ntoskrnl.exe ich weiss dass das ding zu windows gehört.. und eigentlich relativ sicher ist.. aner ich hatte vor ein par tagen ein buntes paket von viren,würmern und spyware bekommen und auserdem ne wlan karte ..die allerding zu an kein AP usw verbunden ist..

jedenfalls öffnet die datei haufenweise ports.. ca. jede 5 min neum .. ich bin mir ziemlich sicher dass ich keine viren oder würmer oder sonstigen scheiss drauf habe .. die ports werden auch von keinem client angsprochen und es werden so weit ich das sehen kann keine daten irgendwohin übertragen.. dennoch würde mich interessieren womit das zutun hat.. und ob jmd. schon sowas kennt.

danke