Spyware installiert sich wieder trotz Entfernung - Spyware Hilfe

Home » Spyware & Browser Hijacker Support Forum » Spyware installiert sich wieder trotz Entfernung » Themenansicht

Seite(n): 1

Antworten

Spyware installiert sich wieder trotz Entfernung

27.07.2004, 16:32 Bozerl ...neu hier Beiträge: 8	#1 Hallo, könnt Ihr Euch bitte meinen Log anschauen? Ich habe schon bei der HijackThis Selbstauswerteseite geschaut und dort auch alles entfernt, beim nächsten Durchlauf mit HijackThis ist aber alles wieder da. Schon mal herzlichen Dank im Voraus... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\QCONSVC.EXE C:\WINDOWS\System32\RegSrvc.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\windowssvc.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\monitor.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\snlogsvc.exe C:\WINDOWS\System32\Winregkk32.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Bozo\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe" O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [monitor] monitor.exe O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O13 - DefaultPrefix: http://195.225.176.5/pre.pl? O13 - WWW Prefix: http://195.225.176.5/pre.pl? O17 - HKLM\System\CCS\Services\Tcpip\..\{F14AEE59-9E03-4B66-8BD4-11178A9AA88C}: NameServer = 195.129.111.50 195.129.111.49

27.07.2004, 17:13 Cidre Member Beiträge: 441	#2 @ Bozerl Der Browser HiJacker den du dir installiert hast, dürfte dein kleinstes Problem bei deinen kompromittierten Rechner sein. Auf deinen Rechner ist mindestens Backdoor.Rbot.gen aktiv, d.h. dein System ist nicht mehr vertrauenswürdig und sollte neuaufgesetzt werden. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html System neuaufsetzen: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. Deine Passwörter ändern 6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox 7. Image deiner Systempartition erstellen 8. Surfverhalten überdenken Das sind die Übeltäter: O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe => Backdoor.Rbot.gen O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe Schicke mir bitte diese zwei Dateien gezippt an cidre_troja@yahoo.de : C:\WINDOWS\System32\snlogsvc.exe C:\WINDOWS\System32\Winregkk32.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 27.07.2004 um 17:15 Uhr von Cidre editiert.

27.07.2004, 17:17 raman Moderator Beiträge: 7805	#3 Bitte im abgesicherten Modus dieses fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [monitor] monitor.exe O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O13 - DefaultPrefix: http://195.225.176.5/pre.pl? O13 - WWW Prefix: http://195.225.176.5/pre.pl? dann bitte neu starten. Ist dein Antivir aktuell? Wenn ja, schicke bitte folgende Dateien an virus@protecus.de und loesche sie dann: C:\WINDOWS\monitor.exe C:\WINDOWS\System32\windowssvc.exe C:\WINDOWS\System32\Winregkk32.exe C:\WINDOWS\System32\snlogsvc.exe Bitte aktiviere die Windowsxp Firewall und nutze regelmaessig www.windowsupdate.com ! __________ MfG Ralf SEO-Spam Hunter

27.07.2004, 17:39 Bozerl ...neu hier Themenstarter Beiträge: 8	#4 Hallo raman, hallo Cidre, vielen Dank für Eure Hilfe, werde mich nun bemühen alles umzusetzen! Ja, mein Antivir ist frisch aktualisiert. Würde Euch gerne die Dateien schicken, leider finde ich sie trotz intensivster Suche nicht... @ Cidre: Windows ist frisch upgedatet...

27.07.2004, 17:49 raman Moderator Beiträge: 7805	#5 Du musst im Explorer unter extras/ordneroptionen/ansicht "geschuetzte Systemdateien ausblenden" abhaken und bei "versteckte Dateien und Ordner" "alle Dateien und Ordner anzeigen" anhaken. Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen. __________ MfG Ralf SEO-Spam Hunter

27.07.2004, 18:02 Cidre Member Beiträge: 441	#6 @ Bozerl Zitat Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen. Full Ack. Zur Info über einen Backdoor Trojaner: Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die der Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen, inklusive Programmmanipulationen. (Quelle: http://www.symantec.de) Ein legaler Zweck einer Hintertür ist es, einen Wartungszugang zu einem Programm bereitzustellen. Weitere Infos dazu: http://www.wiwi.uni-tuebingen.de/grund01/Kapitel%204/4.1%20Aktuelle%20Problembereiche%20und%20Loesungsansaetze.htm __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung

27.07.2004, 18:28 Bozerl ...neu hier Themenstarter Beiträge: 8	#7 Hallo Ihr Beiden, scheint alles wunderbar zu funktionieren, hoffe, das bleibt auch eine Weile. Eure Viren habe ich rübergeschickt ;o)) Vielen herzlichen Dank für Eure Hilfe Josef

27.07.2004, 20:35 Cidre Member Beiträge: 441	#8 @ Bozerl Könntest du mir die Dateien nochmal schicken, falls du sie noch hast, hab leider keine erhalten. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1

Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten