merkwürdiges bei CD einlegen/Trojaner??? |
||
---|---|---|
#0
| ||
25.08.2004, 20:38
...neu hier
Beiträge: 10 |
||
|
||
25.08.2004, 23:25
Member
Beiträge: 441 |
#2
Hallo,
Zitat - Was sind verfolgende Cookies ???http://home.t-online.de/home/TschiTschi/cookies.htm Zitat Schutz-Internetseite- Um was könnte es sich bei dabei (beim aufgehenden Fenster) handeln ???Ich ahne böses. Hast du die CD mittels aktualisierten Virenscanner überprüft? Erstelle bitte mit HiJackThis ein Log-File und poste es hier rein. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung Dieser Beitrag wurde am 25.08.2004 um 23:36 Uhr von Cidre editiert.
|
|
|
||
26.08.2004, 15:43
...neu hier
Themenstarter Beiträge: 10 |
#3
Hallo,
ich habe den Virenscanner mit der aktuellen Virendatei drüberlaufen lassen. Er findet nichts !!! Anbei meine Log-Files, bin gespannt was du findest.... Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\DELLMMKB.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\SECRETMAKER\secretmaker.exe C:\Programme\Corel\Graphics9\Register\Remind32.exe C:\Programme\UltimateZip\uzqkst.exe C:\WINDOWS\Nhksrv.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Netropa\OSD.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\SCARDS32.EXE C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Outlook Express\MSIMN.EXE C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\ULTIMA~1\uzip.exe C:\DOKUME~1\STEPHA~1\LOKALE~1\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: IeHelper Class - {A491D208-B353-490F-B81A-A8A3DC97042D} - C:\PROGRA~1\SECRET~1\smiehlp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [AHQInit] C:\Programme\Creative\SBLive\Program\AHQInit.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE O4 - HKLM\..\Run: [NetStat Live] C:\Programme\AnalogX\NetStat Live\nsl.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - Startup: Corel Registration.lnk = C:\Programme\Corel\Graphics9\Register\Remind32.exe O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip\uzqkst.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: Preispiraten - {94A15285-AAE6-44E8-B2D7-4A2C6CDA9185} - C:\Programme\Preispiraten\preispiraten.exe O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security2.norton.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2952456363d9309d0e21/netzip/RdxIE601_de.cab |
|
|
||
26.08.2004, 17:48
Moderator
Beiträge: 6466 |
#4
Zitat geht ein Fenster auf mit dem Hinweis "Schutz-Internetseite"Welche Art von Fenster ? ein Browserfenster, oder ein Windows-Nachrichten-Fenster ? Oder... ? Zitat und es scheint eine Übertragung statt zufindenWas lässt Dich das vermuten, wodurch ist das ersichtlich ? Was ist in der autorun.inf auf der CD eingetragen (sofern auf der CD vorhanden)? Das Log scheint soweit sauber zu sein. __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
26.08.2004, 22:59
...neu hier
Themenstarter Beiträge: 10 |
#5
- Welche Art von Fenster
Ein Windows Fenster (wie z.B. beim Kopieren von Dateien von einem Verzeichnis in ein anderes) geht für vielleicht eine Sekunde mit der Bezeichnung "Schutz Internetseite" auf - Übertragung Wie beim Fenster, das beim Kopieren von Dateien aufgeht, wanderen hier auch "kleinere Balken" von links nach rechts, daher dachte ich an eine Datenübertragung - Autorun.inf Auf der CD nicht vorhanden ! |
|
|
||
27.08.2004, 19:12
Ehrenmitglied
Beiträge: 29434 |
#6
Hi@ironman
#Stell mal den Nachrichtendienst unter<Dienste< ab #und scanne mit eScan im abgesicherten Modus.(deaktiviere solange deinen Virenscanner) #lade < erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suchst mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Dann berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.08.2004 um 19:17 Uhr von Sabina editiert.
|
|
|
||
27.08.2004, 20:12
...neu hier
Themenstarter Beiträge: 10 |
#7
Hallo Sabina !
Ich wollte vorher noch folgende Beobachtung loswerden: Hatte oben bereits erwähnt, dass Spyboot "verfolgende Cookies" gefunden und gelöscht hat. Ich habe jetzt zunächst mit Spyboot nochmal alles entfernen lassen und dann die CD eingelegt. - Das Fenster ging beim erstmaligen Einlegen erneut auf. Ich habe nichts mit Spybooot unternommen und beim zweitenmal CD einlegen tat sich dann nichts mehr (=Fenscter ging nicht mehr auf). - Nachdem ich die verfolgenden Cookies Avenue A, Inc (atdmt.com) bzw Media Plex (mediaplex.com) erneut gelöscht habe und die CD wiedereingelegt habe, hat sich das Fenster erneut geöffnet und exakt die beiden Cookies wurden wieder gefunden (ich war nicht im Internet)!!! 1. Kannst du hiermit etwas anfangen ? 2. Was ist den e-scan? |
|
|
||
28.08.2004, 02:54
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo @ironman
<escan< ist eine abgespeckte Virenscaner -Version...sehr effektiv.(und kompativel mit anderen Virenscannern) Die tracking cookie sind wahrscheinlich auf der CD mit drauf. Du kannst dich ja mal erkundigen, woher der Inhalt der CD kommt (aus dem Net ?) http://www.pestpatrol.com/PestInfo/a/avenuea_com.asp Opt-Out Option: On iballs.com, the opt-out cookie link redirects to Avenue A. An opt-out cookie that covers both Avenue A and iballs.com cookies is available at <www.avenuea.com/info/optout.asp<. Sacanne noch mal zusaetzlich zum Spybot mit AdAware (free) http://www.lavasoft.de/support/download/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.08.2004 um 03:03 Uhr von Sabina editiert.
|
|
|
||
29.08.2004, 13:34
...neu hier
Themenstarter Beiträge: 10 |
#9
Hallo Sabina,
ich habe mit escan im abgesicherten Modus gescannt. Dabei ist folgendes gefunden worden: c:\winhel.chm infected by "Trojan.Win32Dialer.ce" virus. Action Taken: File Deleted Muss ich jetzt noch was (bei mir) machen ??? |
|
|
||
29.08.2004, 14:02
Ehrenmitglied
Beiträge: 29434 |
#10
Nun, aendere alle wichtigen Passworte, deaktiviere die Wiederherstellung und aktiviere sie wieder.
#Tritt das Prob. bei der CD noch auf ? Es kann sein, dass der Trojaner von dort kommt....) in dem Fall scanne nach der Anwendung der CD noch mal mit mwav.exe und dann verwende die CD nicht mehr. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.08.2004 um 20:11 Uhr von Sabina editiert.
|
|
|
||
29.08.2004, 20:39
...neu hier
Themenstarter Beiträge: 10 |
#11
Hallo Sabina,
bevor ich auf deine heutige Nachricht zurückkomme, habe ich noch Fragen, die sich gerade ergeben haben. Habe gerade mit escan nochmal im Normalbetrieb gescannt. Dabei gab es folgende Ergebnisse: - Es wurde 12 Einträge angezeigt, davon "nur" 2 als "Trojan Downloader Win32.Stubby.b" Virus, der problemlos entfernt wurde. 1. Der Trojaner war u.a. auch im Bereich \System Volume Information\_restore...... Was bedeutet das ??? (Der andere Eintrag war direkt ein Programm) 2. Die weiteren Einträge waren als "not a virus" gekennzeichnet z.B. ....bafoeg.exe (ein offzieler Bafoeg-Rechner) tagged as not a virus: Tool.Win32.Reboot No action taken --> Warum meldet sich der Scanner hier, wenn es "not a virus" ist ? Er hat auch Ad-Aware Einträge muniert ??? --> Zu Adaware Ich hatte früher einmal eine Einstellung gewählt, mit der Ad-Aware mehr gefunden hat. Habe diese Einstellungen aber leider nicht gespeichert ! Kannst du mir dazu was empfehlen ??? Außerdem stelle ich mir gerade die Frage welches Anti-Spy Programm brauche ich denn jetzt "wirklich" und welches (Viren) Programm verträgt sich nicht mit wem ??? Sorry für die vielen Fragen ;-) |
|
|
||
29.08.2004, 20:44
Moderator
Beiträge: 7805 |
#12
Naja, man kann das Tool ja auch missbrauchen. Wenn nach dem Programmstart gleich der Rechner heruntergefahren wird, waere es laesstig, wenn jemand aus Jux das bei dir im Autostart setzt!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
30.08.2004, 00:16
Ehrenmitglied
Beiträge: 29434 |
#13
@ironman
1. Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 damit verschwinden die <\System Volume Information\_restore< Eintraege (die Erklaerung ddazu findest du auf der Site) 2. Tool.Win32.Reboot bedeutet, es ist alte Software (Koennte ja verseucht sein, deshalb erfasst die Heuristik vom eScan das auch. 3.Wenn adAware frueher mehr gefunden hat, dann war deinPC mehr verseucht. Ich denke, wenn das Tool nichts mehr findet, solltest du nicht ueber die Einstellungen nachgruebeln, sondern happy sein 4. Ein guter aktualisierter Antivirus, eventuell eine Firewall, AdAware und der Firefox als Alternativbrowser reichen meiner Meinung aus, um einigermassen sicher und vernuenftig im Net zu surfen.(die absolute Sicherheit gibt es nicht...wie deine CD ja auch bewiesen hat....) 5. Man sollte unter <Internetoptionen< einstellen, dass die TemporaryInternetfiles nach Booten geloescht werden. Oder man macht es manuell (auch unter Internetoptionen) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 00:20 Uhr von Sabina editiert.
|
|
|
||
30.08.2004, 22:23
...neu hier
Themenstarter Beiträge: 10 |
#14
Hallo Sabina,
ohne die Wiederherstellung zu deaktivieren und dann wieder zu aktivieren, kann ich jetzt keinen Trojaner mehr feststellen. Habe dabei auch wieder im abgesicherten Modus gescannt. Keine Vorkomnisse ! Habe die besagte CD wieder eingelegt und diesmal geht seltsamerweise kein Fenster mehr auf (dies geschah immer - wie oben erwähnt -, wenn ich die besagten Cookies gelöscht habe, aber selbst die sind weg ???!!!!). Die Daten der CD habe ich auf meine Festplatte kopiert. Auch habe ich CDs, die ich gebrannt habe daraufhin nochmal eingelegt (dachte der Trojaner könnte vielleicht "überspringen"). Aber auch da kein Ergebnis ! Gruß Ironman |
|
|
||
30.08.2004, 23:42
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo @ironman
Du kannst die Wiederherstellung wieder aktivieren. Grund des Problems scheint der Trojan-Dialer gewesen zu sein. Trojan.Win32Dialer.ce.\Wo du dir den eingefangen hast...steht in den Sternen Bedenke, dass du nun alle wichtigen Passworte (falls du solche hast) aendern musst. Mache mal alle 3 Tests: PC-Selbsttest http://check.lfd.niedersachsen.de/start.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.08.2004 um 23:44 Uhr von Sabina editiert.
|
|
|
||
ich habe von einem Freund eine CD mit Unterlagen zu Vorlesungen der Uni bekommen. Jedesmal wenn ich diese CD ins Laufwerk lege, geht ein Fenster auf mit dem Hinweis "Schutz-Internetseite" und es scheint eine Übertragung statt zufinden ???!!
Ich denke, dass es ein Trojaner ist ??? Scannen mit Spyboot hat allerdings "nur" 4 "verfolgende Cookies" ergeben ??? Die Firewall meldet keinen outgoing Traffic !??
2 Fragen hierzu
- Was sind verfolgende Cookies ???
- Um was könnte es sich bei dabei (beim aufgehenden Fenster) handeln ???
Vielen Dank für die Antworten bereits vorab und einen schönen Abend noch !!!