Na toll, ich hab gerade erst formatiert!!!

Hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:03:41, on 14.04.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\spoolsv.exe
D:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
D:\Programme\Avira\AntiVir Desktop\avgnt.exe
D:\Programme\Avira\AntiVir Desktop\avguard.exe
d:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe
C:\WINXP\Microsoft.NET\Framework\v2.0.50727\mscors vw.exe
D:\Programme\Java\jre6\bin\jqs.exe
d:\Programme\Sandboxie\SbieSvc.exe
C:\WINXP\System32\TUProgSt.exe
d:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\WINXP\system32\cmd.exe
C:\WINXP\system32\svchost.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\winxp\system32\prxerdrv.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe
O23 - Service: BlackfishSQL - CodeGear - d:\Programme\CodeGear\RAD Studio\6.0\bin\BSQLServer.exe
O23 - Service: CyberGhost VPN Client (CGVPNCliSrvc) - mobile concepts GmbH - d:\Programme\S.A.D\CyberGhost VPN\CGVPNCliService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - d:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 5692 bytes



Netstat -a:

http://img151.imageshack.us/img151/8546/netstat.jpg (http://img151.imageshack.us/img151/8546/netstat.jpg)



Es tauchen ab und zu im netstat komische ports auf ... ich hoffe es is nix, wär nett wenn das mal jemand checken könnte.

c:\winxp\system32\prxerdrv.dll

Lad die Datei mal auf Virustotal hoch und poste die Ergebnisse.

Mach mal netstat -b

Und ich glaub kaum dass das was ist... Allerhöchstens die, die über theplanet.com laufen...

Hat dein AV die aktuellsten Virendefinitionen? Dann lass mal den scannen.
GGf. auch mal Adaware drüber laufen lassen.

Ich würde mal behaupten selbstschuld. Ich kann es ja gerne nochmals schreiben.
Programme (Stealer, Crypter, RATs) wo ihr nicht den Source Code dazu habt und ihn versteht,
solltet ihr es nicht mit dem System öffenen wo ihr Produktiv benutzt.
Verwendet für solche Sachen ein Testsystem.

Ich würde mal behaupten selbstschuld. Ich kann es ja gerne nochmals schreiben.
Programme (Stealer, Crypter, RATs) wo ihr nicht den Source Code dazu habt und ihn versteht,
solltet ihr es nicht mit dem System öffenen wo ihr Produktiv benutzt.
Verwendet für solche Sachen ein Testsystem.

Soll das heissen dass ich auf jeden fall infiziert bin? Sry aber solche beiträge helfen mir recht wenig. Crypter und stealer dergleichen habe ich bisher nicht benutzt seit dem Formatieren. Nur das TS2 Pack hier von Free-Hack.


Netstat -b:

http://img14.imageshack.us/img14/1815/netstat2.jpg (http://img14.imageshack.us/img14/1815/netstat2.jpg)

Gib mal Link und ich schau es mir an.

http://free-hack.com/showthread.php?t=1478

(Auf serials.ws war ich auch mal seit dem formatieren, hab gehört die Seite soll unsicher sein)

btw: Ist es normal, dass dich CTF loader immer wieder neu ins autostart reinmacht?

Das war nicht das komplette netstat listing - lass das mal laufen, bis es fertig ist und gib nochmal.

Oder shcua mal mit TCPVIEW von Sysinternals - da solltest du auch gute Info's bekommen

Und wenn du "netstat -b" verwendest, solltest du die alles schliessen bis auf die Eingabeaufforderung.
Wenn du natürlich auf solche Webseiten gehst, musst du damit rechnen das du dich infiszieren könntest.
Hast du dann ein Cracker runtergeladen oder nur ein Serial angeschaut?

btw: Ist es normal, dass dich CTF loader immer wieder neu ins autostart reinmacht?

Link (http://www.gerhard-schlager.at/de/projects/ctfmonremover/)

Hab mir lediglich serials angeschaut. Außerdem habe ich alle Programme von dem TS2 Pack, welche ich benutz hab (einige hat AV vorher gelöscht) immer mit Sandbox gestartet.

Darum meinte ich ein Testsystem und keine (VMware, Sandbox).
Wie man schon öffters gesehen haben, schauen gwissen "Trojaner" ob die läuft und dann macht es nichts.

Hm also AV-Proggis finden nichts ... infektion eher unwahrscheinlich?

Hast du denn bis jetzt irgendwelche beschwerden mit deinem Pc? Oder wie hast du Verdacht geschöpft?

Ne hab nur bei netstat ein paar ports gesehen die ich nich zuordnen konnte...

... und hier nochma netstat -b... hab gewartet, mehr kam nicht:

http://img206.imageshack.us/img206/7715/unbenannte.jpg

Also das einzigewas ich af Serials.ws mache ist mir keys zu besoregn, und immer mit Firewall an. Cracks besorge ich mir ausschließlich von gamecopyworld

Kann jetzt noch einer was zu meinem vorletzten Post sagen? Wegen dem netstat? Siehts sauber aus? Im Autostart bei mir ist übrigends NUR AVGuard aktiviert und viel mehr einträge gibts auch nicht.

Netstat zeigt nur eine "verdächtige" Verbindung an, und die geht hier auf die F-H Homepage :D

Da sollte also nix schlimmes sein =)

ich bin aber infiziert ich habe mir den Crypter da runter geladen der da infiziert war und jeden falls mein steam account ist weg ... und in der leiste unten rechts wo uhr und so angezeigt würd da würd mein avira antivir symbol nicht mehr angezeigt aber wenn ich auf desktop klicke auf avira symbol den öffnet sich avira und ist auch aktiv aber würd nicht in der leiste unten angezeigt viren hat er haufene gefunden aber sind alle schon gelöscht habe antivir 5 mal scannen lassen da hat er denn nix mehr angezeigt aber das symbol fehlt immer noch... was kann ich noch tuhn????

Tatsache ist, das du selber schuld bist -.-

Und wir können dir auch nicht mehr helfen.
Es gibt keine aktiven Verbindungen, die irgendwie "gefährlich" aussehen.

Und was ist mit der Datei: c:\winxp\system32\prxerdrv.dll
Das hatte soulstoned dir im 2 Post geschrieben...

Vllt. hat auch Avira n Prob, oder n Stealer o.ä. hat Avira kaputtgehauen, dir deinen Acc geklaut und ist dann heimlich, still und leise verschwunden...

Internetkabel ziehen, eine Datensicherung machen und Windows neu raufhauen, ist meines erachtens die beste Lösung, da man sich nie sicher sein kann, ob nicht doch noch irgendwo was versteckt ist, selbst ein ein Antivir Programm nichts mehr anzeigt.

Nachdem du Windows neu drauf hast, zieh Dir ein Backup und Installiere Dir eine VM ( Virtual Machine, wie z.b VMWare oder Windows Virtual PC 2007), auf der du solche Programme denn laufen bzw testen kannst.

Und das mit dem Steam Account, wenn du noch den Kaufbeleg und oder die CD/DVD Hülle mit Key hast, kopiere bzw Fotographiere sie und schick die Unterlagen zu Steam, die setzen denn dein Account zurück.

Viel Glück, hoffe ich konnte Dir helfen.

Mfg

FeaR

Edit:

GregorSamsa (http://free-hack.com/member.php?u=46765) solche Beiträge sind nicht sonderlich förderlich und sind einfach nur Sinnlos. Wenn du keine Lust hast jemanden zu helfen, denn lass es einfach und nerv nicht mit solchen dummen Beiträgen

FeaR: ich hab schon genug dazu geschrieben - das war nicht mein einziger Beitrag.

Und ich hab ihm gesagt, was passiert sein _könnte_... Und trotzdem sollte er halt nächstesmal aufpassen...

mit den Crypter hier bei FH das wusste ja vorher groß keiner das er infiziert war wurde ja erst später mit geteilt das er infiziert ist und darum wurde der jenige auch gesperrt...die datei hier prxerdrv.dll habe ich nicht... mein steam account ist seit gestern schon weg und seit heute ist es mit antivir...wo und wie könnte ich nach schauen ob ich irgend welche verbindungen habe zum anderen pc oder so???

Entweder mit TCPVIEW (gut) oder netstat (schlecht)

Geh auf die Seite von http://www.hijackthis.de/de, lad Dir das Tool ( oben rechts auf der Seite), lass dir ein Logfile erstellen und kopiere dieses denn in die Textbox auf der Mainpage.
Nach der Auswertung siehst du denn, ob irgendwelche Verbindungen vorhanden sind, die nicht sein sollten.

Aber der Test ist keine 100%tige Sicherheit, ob du jetzt ein Trojaner hast oder nicht, setz vorsichtshalber dein Computer neu auf.

Mfg

FeaR

Das einzige, was HiJackThis sagt, ist die datei:
c:\winxp\system32\prxernsp.dll

so antivir geht wieder habe es neu installt... werde es mal machen mit hijack this und schauen nach dieser datei prxernsp.dll ohh antivir hat grad ein keylogger gefunden aber gelöscht...

antivir findet jetzt auf ein mal wo ich es neu install habe TR/Keylogger.owa.2 <-- davon hat er genau 56 stück gefunden und gelöscht das problem ist ich habe mir ein FUD Crypter gekauft mit hardware id und wenn ich jetzt neu aufsetze den geht doch der Crypter nicht mehr da ich doch den ne andere hardware id habe oder nicht??

wie wäre jetzt jetzt nun wenn ich neu aufsetze geht den mein Fud Crypter noch????

wie wäre jetzt jetzt nun wenn ich neu aufsetze geht den mein Fud Crypter noch????

wie wäre jetzt jetzt nun wenn ich neu aufsetze geht den mein Fud Crypter noch????


Natürlich geht Dein Crypter danach noch !

Schließlich ist ja die Rede von einer Hardware ID, und wenn Du Dein Betriebssystem neu aufsetzt, hast Du ja logischerweise nichts an Deiner Hardware geändert, sondern nur an der Software ;-)

Könnt natürlich auch was in dem Crypter drinnegehangen haben...

Superman hijacke nicht das Thema von anderen!
Zu threadersteller: Nichts außergewöhnliches, die Http Verbindungen sind vllt nur Werbung etc von Seiten!