Spyware installiert sich wieder trotz Entfernung |
||
---|---|---|
#0
| ||
27.07.2004, 16:32
...neu hier
Beiträge: 8 |
||
|
||
27.07.2004, 17:13
Member
Beiträge: 441 |
#2
@ Bozerl
Der Browser HiJacker den du dir installiert hast, dürfte dein kleinstes Problem bei deinen kompromittierten Rechner sein. Auf deinen Rechner ist mindestens Backdoor.Rbot.gen aktiv, d.h. dein System ist nicht mehr vertrauenswürdig und sollte neuaufgesetzt werden. http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html System neuaufsetzen: 1. Eingeschränktes Benutzerkonto erstellen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp 5. Deine Passwörter ändern 6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder Browserwechsel wie z.B. Mozilla oder Firefox 7. Image deiner Systempartition erstellen 8. Surfverhalten überdenken Das sind die Übeltäter: O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe => Backdoor.Rbot.gen O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe Schicke mir bitte diese zwei Dateien gezippt an cidre_troja@yahoo.de : C:\WINDOWS\System32\snlogsvc.exe C:\WINDOWS\System32\Winregkk32.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 27.07.2004 um 17:15 Uhr von Cidre editiert.
|
|
|
||
27.07.2004, 17:17
Moderator
Beiträge: 7805 |
#3
Bitte im abgesicherten Modus dieses fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/ F2 - REG:system.ini: Shell=Explorer.exe monitor.exe O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe O4 - HKCU\..\Run: [monitor] monitor.exe O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O13 - DefaultPrefix: http://195.225.176.5/pre.pl? O13 - WWW Prefix: http://195.225.176.5/pre.pl? dann bitte neu starten. Ist dein Antivir aktuell? Wenn ja, schicke bitte folgende Dateien an virus@protecus.de und loesche sie dann: C:\WINDOWS\monitor.exe C:\WINDOWS\System32\windowssvc.exe C:\WINDOWS\System32\Winregkk32.exe C:\WINDOWS\System32\snlogsvc.exe Bitte aktiviere die Windowsxp Firewall und nutze regelmaessig www.windowsupdate.com ! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.07.2004, 17:39
...neu hier
Themenstarter Beiträge: 8 |
#4
Hallo raman, hallo Cidre,
vielen Dank für Eure Hilfe, werde mich nun bemühen alles umzusetzen! Ja, mein Antivir ist frisch aktualisiert. Würde Euch gerne die Dateien schicken, leider finde ich sie trotz intensivster Suche nicht... @ Cidre: Windows ist frisch upgedatet... |
|
|
||
27.07.2004, 17:49
Moderator
Beiträge: 7805 |
#5
Du musst im Explorer unter extras/ordneroptionen/ansicht "geschuetzte Systemdateien ausblenden" abhaken und bei "versteckte Dateien und Ordner" "alle Dateien und Ordner anzeigen" anhaken.
Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.07.2004, 18:02
Member
Beiträge: 441 |
#6
@ Bozerl
Zitat Cidre bezog sich eigentlch nicht auf das updaten, sondern da bei dir schon ein "heftiger" Malwarebefal vorliegt, waere es sinnvoll seine Tipp unter( und incl) "System neuaufsetzen" in Erwaegung zu ziehen.Full Ack. Zur Info über einen Backdoor Trojaner: Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors) ein, durch die der Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen, inklusive Programmmanipulationen. (Quelle: http://www.symantec.de) Ein legaler Zweck einer Hintertür ist es, einen Wartungszugang zu einem Programm bereitzustellen. Weitere Infos dazu: http://www.wiwi.uni-tuebingen.de/grund01/Kapitel%204/4.1%20Aktuelle%20Problembereiche%20und%20Loesungsansaetze.htm __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
27.07.2004, 18:28
...neu hier
Themenstarter Beiträge: 8 |
#7
Hallo Ihr Beiden,
scheint alles wunderbar zu funktionieren, hoffe, das bleibt auch eine Weile. Eure Viren habe ich rübergeschickt ;o)) Vielen herzlichen Dank für Eure Hilfe Josef |
|
|
||
27.07.2004, 20:35
Member
Beiträge: 441 |
#8
@ Bozerl
Könntest du mir die Dateien nochmal schicken, falls du sie noch hast, hab leider keine erhalten. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
könnt Ihr Euch bitte meinen Log anschauen? Ich habe schon bei der HijackThis Selbstauswerteseite geschaut und dort auch alles entfernt, beim nächsten Durchlauf mit HijackThis ist aber alles wieder da.
Schon mal herzlichen Dank im Voraus...
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\windowssvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\snlogsvc.exe
C:\WINDOWS\System32\Winregkk32.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Bozo\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.5/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.5/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.5/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.5/
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft Update] snlogsvc.exe
O4 - HKLM\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] snlogsvc.exe
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - HKCU\..\Run: [Microsoft Updt Machine] Winregkk32.exe
O4 - HKCU\..\Run: [Microsoft Update] snlogsvc.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O13 - DefaultPrefix: http://195.225.176.5/pre.pl?
O13 - WWW Prefix: http://195.225.176.5/pre.pl?
O17 - HKLM\System\CCS\Services\Tcpip\..\{F14AEE59-9E03-4B66-8BD4-11178A9AA88C}: NameServer = 195.129.111.50 195.129.111.49