Probleme mit Trojaner |
||
|---|---|---|
| #0
| ||
|
06.07.2004, 15:40
Member
Beiträge: 19 |
||
 
|
|
|
|
06.07.2004, 17:16
Ehrenmitglied
 Beiträge: 29434 |
#2
Fixe mit dem HijackThis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.23.191:3128/ken.html O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O14 - IERESET.INF: START_PAGE_URL=http://192.168.23.191:3128/ken.html neustarten Geh mal zu C:\WINDOWS\SYSTEM32\DRIVERS\ETC\Hosts mit dem Editor oeffen ..notepad Dort sollte nur 127.0.0.1 Lokalhosts drinstehen . Alles andere loeschen 4. dann loesche unter InternetOptionen die TemporaryInternetFiles Lade mwav.exe und scanne \alle Dateien\ http://www.mwti.net/antivirus/free_utilities.asp Lade Sygate als Firewall http://smb.sygate.com/products/spf_standard.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 17:23 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.07.2004, 19:16
Member
Themenstarter Beiträge: 19 |
#3
Hallo Sabina,
die Punkte 1-4 bekomme ich ja hin. Zur mwav.exe: Ist der besser als AntiVirus. Ich habe mal gelesen, dass sich mehrere Antiviren-Scanner gegenseitig "behindern". Soll ich AntiVirus vorher deinstallieren. Zu Sygate: Ich habe schon ZoneAlarmPro. Ist auch o.k. Oder? Vielen dank für deine Hilfe. Bulli Ich bin`s nochmal. Also hosts habe ich mit dem Editor geöffnet: # Hosts file rewritten by Mydoom Removal Tool 127.0.0.1 localhost # Start of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy Soll ich alles ausser 127.0.0.1 localhost löschen? Ich habe in dem ETC-Ordner auch noch 2 andere Hosts-Dateien: hosts.20040224-192231.backup vom 24.02.2004 # Hosts file rewritten by Mydoom Removal Tool 127.0.0.1 localhost 207.36.196.189 auto.search.msn.com 207.36.196.189 search.netscape.com 207.36.196.189 ieautosearch hosts.20040224-192232.backup vom 24.02.2004 # Hosts file rewritten by Mydoom Removal Tool 127.0.0.1 localhost 207.36.196.189 auto.search.msn.com 207.36.196.189 ieautosearch # Start of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy Soll ich die Löschen oder sind die wichtig? Dieser Beitrag wurde am 06.07.2004 um 19:35 Uhr von Bullrider editiert.
|
|
|
|
|
|
|
06.07.2004, 20:42
Ehrenmitglied
Beiträge: 29434 |
#4
1 Lass den Hosts, wie er ist
2.Wenn du eine Firewall hast, brauchst du den Sygate natuerlich nicht....nur habe ich den Zonealarm nicht gesehen... 3. die mwav.exe kannst du beruhigt installiere...keine Probleme !! 4. Lade dann noch den Spysweeper http://www.spysweeper.com/download.html dann poste das saubere Log mit einer Startseite noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.07.2004 um 20:47 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.07.2004, 21:25
Member
Themenstarter Beiträge: 19 |
#5
Hallo Sabina,
nochmal danke für deine schnelle Hilfe. Hier jetzt das neue HijackThis-Log Logfile of HijackThis v1.97.7 Scan saved at 21:15:55, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: AOL Instant Messenger (TM) (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37964.3477314815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab mwav.exe hat einen Virus gefunden, das dürfte die ehemalige ZIP-Datei sein, die ich gelöscht habe File C:/Recycler/nprotect/00053204.exe tagged as not-a-virus: Tool.Win.32.Reboot.No Action Taken Bekomme ich den da noch irgendwie weg, nicht dass der mir noch Schaden anrichtet, der Schlingel  Gruß Bulli Ach, ich hab noch was vergessen. Dass, was ich ganz oben unter 2 aufgeführt habe, ist immer noch da (war eben aber 1027 statt 1026) Proto Lokale Adresse Remoteadresse Status TCP pc1:1026 localhost:18350 hergestellt TCP pc1:18350 localhost:1026 hergestellt Dieser Beitrag wurde am 06.07.2004 um 21:28 Uhr von Bullrider editiert.
|
|
|
|
|
|
|
07.07.2004, 15:07
Ehrenmitglied
Beiträge: 29434 |
#6
Bullrider
nach einigem Suchen , nun dies: #127.0.0.1 localhost lasse nur das und loesche 207.36.196.189 auto.search.msn.com 207.36.196.189 search.netscape.com 207.36.196.189 ieautosearch #suche und loesche falls es da ist: msxword.dll und MSXLAB.DLL #Schau mal bitte in der Registry (Start/ausführen/regedit) welche Datei unter diesem Schlüssel aufgeführt ist. Schau mal bitte was unter !)HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96} In dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben? !)HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 n dem Schlüssel "InprocServer32" , welche Datei wird dort angegeben? datei: (standard) reg_sz wert: #Leere den Papierkorb. #mache noch Onlinescanns http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php http://www.pandasoftware.es/activescan/es/activescan_principal.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.07.2004 um 15:28 Uhr von Sabina editiert.
|
|
|
|
|
|
|
07.07.2004, 20:27
Member
Themenstarter Beiträge: 19 |
#7
Guten Abend Sabina,
also ich habe das in der 1. Backup-Datei gelöscht 207.36.196.189 auto.search.msn.com 207.36.196.189 search.netscape.com 207.36.196.189 ieautosearch Die folgende backup-Datei konnte ich nicht geändert speichern, weil er mir sagte die Datei oder der Pfad wäre nicht vorhanden. hosts.20040224-192232.backup vom 24.02.2004 # Hosts file rewritten by Mydoom Removal Tool 127.0.0.1 localhost 207.36.196.189 auto.search.msn.com 207.36.196.189 ieautosearch # Start of entries inserted by Spybot - Search & Destroy # End of entries inserted by Spybot - Search & Destroy Die beiden Dateien msxword.dll und MSXLAB.DLL waren nicht nicht vorhanden, ebenso wenig HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{53B95204-7D77-11D2-9F81-00104B107C96 Bei HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3050F406-98B5-11CF-BB82-00AA00BDCE0B}\InprocServer32 steht folgendes: Standard REG_EXPAND_SZ %SystemRoot%\System32\mshtml.dll Threading Model REG_SZ Apartment Den Papierkorb lösche ich regelmässig, allerbings gibt es noch den Ordner C\Recycler\nprotect Wenn ich den Papierkorb lösche, bleiben die Dateien in dem Ordner erhalten (die Dateien sind teilweise uralt aus 2000, den Rechner habe ich erst seit 2002). Ich würde den Ordner nprotect komplett leeren, habe mich aber bisher nicht getraut, aber eigentlich kann da ja nichts wichtiges mehr drin sein. Den Online-Test bei Trendmicro habe ich gemacht, der Test ist aber irgendwann abgeschmiert, aber über den Ordner C:\Recycler\nprotect ist ohne Meldung rüber. MfG Bulli |
|
|
|
|
|
|
07.07.2004, 21:04
Ehrenmitglied
Beiträge: 29434 |
#8
Nun, verbleiben wir dabei
TCP pc1:1026 localhost:18350 hergestellt TCP pc1:18350 localhost:1026 hergestellt ist immer noch vorhanden ? Surfe nur mit dem Firefox...ist viel sicherer als der IE http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 07.07.2004 um 21:05 Uhr von Sabina editiert.
|
|
|
|
|
|
|
07.07.2004, 21:27
Member
Themenstarter Beiträge: 19 |
#9
Nee, ist jetzt weg. Habe alle Anwendungen geschlossen und netstat
abgefragt, war leer. *freu* Den Firefox habe ich auch drauf und die AntiVir-Meldung kam auch als ich mit dem Firefox gesurft bin! Aber man ist ja nie sicher. Scheint jetzt ja alles o.k. zu sein. Ich danke dir recht herzlich.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
gestern hat mir AntiVir beim Surfen gemeldet, dass es einen Trojaner
gefunden hat. Ich habe den dann ins Quarantäne-Verzeichnis
verschieben lassen? Heute habe ich mich gewundert, warum mir
ZoneAlarm so viele Zugriffsversuche meldet. Das waren
in 5 Minuten bestimmt 1000 Stück! Das hat mich stutzig gemacht und
ich habe AntiVir nochmal suchen lassen. Es hat eine Datei "2GWAYAJR.ZIP"
gefunden. Diese habe ich dann normal gelöscht. Nun habe ich ein paar Fragen:
1.) Kann sich der Trojaner aus dem Qurantäne-Verzeichnis "befreit" haben?
(ich habe die Qurantäne-Datei mitlerweile auch gelöscht, die hiess
CLASSLOAD.JAR-1F5B6B541566233A.ZIP)
2.) Ich habe mal in Sat.1 gesehen, dass man sich über Ausführen->cmd->
netstat anzeigen lassen kann, welche Programme nach aussen senden.
Das sieht bei mir so aus, obwohl ich noch gar nix gestartet habe.
Proto Lokale Adresse Remoteadresse Status
TCP pc1:1026 localhost:18350 hergestellt
TCP pc1:18350 localhost:1026 hergestellt
3.) Hier noch mein HJThisLog, ich kenne mich da leider nicht so aus,
wäre also nett, wenn da jemand drüberschauen könnte.
Logfile of HijackThis v1.97.7
Scan saved at 15:34:02, on 06.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.23.191:3128/ken.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: AOL Instant Messenger (TM) (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://192.168.23.191:3128/ken.html
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37964.3477314815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{672B16D3-91FD-404F-99DC-84699E55E7B2}: NameServer = 217.237.149.161 194.25.2.129
Vielen Dank schonmal an alle, die hilfreich zur Seite stehen.
Viele Grüße
Bulli