Üble Malware hat sich festgesetzt

#1 Ich habe den schweren fehler gemacht und bin mit dem Internet Explorer tatsächlich ins Internet
Hab mir natürlich prompt ein paar malwares eingefangen.
Die startseite im Internet Explorer änderte sich selbstständig, ausserdem kamen noch ein paar popups dazu und Spybot meldete immer wieder irgendwelche veränderungen und zugriffe in der Registry.
Das macht mir überhaupt keinen Spass und deswegen habe ich mich auch schon ein bisschen in diesem Forum herumgesehen. Dabei bin ich auf HijackThis und Ad- Aware gestossen. (spybot hatte ich schon, nutzte jedoch nicht viel).
Ich habe nun beide tools gedownloadet und mit Ad-Aware schon recht viel weg gebracht.
und HijackThis habe ich auch gleich ausprobiert, leider kommt beim Scan folgende Fehlermeldung:
-----------------------------------------------------------------------------
An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()
Error #62 - Input past end of file

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.0

This message has been copied to your clipboard.
-----------------------------------------------------------------------------

leider ist noch nicht alles weg.
zum Beispiel ändert die Startseite beim IE immer noch und ich habe immernoch eine Toolbar von Richfind.com diese Toolbar ist selsamerweise auch noch im Explorer.
Ausserdem habe ich im Taskmanager etwa 7 verschiedene scchost.exe laufen.
und die Prozesse hrtcm.exe, devldr32.exe und ctfmon.exe kommen mir auch etwas komisch vor.

ich wär froh wen mir irgend jemand helfen kann oder einen tipp geben kann,
den ich weiss echt nicht wo ich diese Teufelsdinger sonst noch dingfest machen kann. und in der registry getraue ich mich nicht rumzumachen ohne anleitung.
für jede nützliche antwort danke ich schon mal in voraus.
moelbi

#2 Hallo,

lass mal eScan im abgesicherten Modus scannen. lösche die infizierten Dateien manuell und poste danach die Virus Log Information.

Zitat

7 verschiedene scchost.exe laufen

Diese Datei wird von vielen Backdoor Trojaner benutzt, die alle sehr gefährlich sind!
http://www.google.de/search?q=scchost.exe&hl=de&lr=lang_de&start=10&sa=N
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#3 hi

hast du mit version 1.98.2 den hjt scan versucht?
sollte dies der fall sein, bitte einen versuch mit der 1.97.7
habs gesehen, es war die 1.98.0 --> aktuell ist 1.98.2
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#4 also wenn mein Komputer jez nicht gesäubert ist, muss diese malware wirklich übel sein.
Hab jetzt den ganzen PC durchgecheckt, mehrmals.
unter anderem mit:
SpyBot, Ad-Aware, HijackThis 1.97.7 und mit eScan.
bei HijackThis hab ich ein paar dateien schon gelöscht, bei denen sowieso klar war dass sie nicht hier her gehören.
Ad-Aware hat auch noch einiges gefunden nachdem ich Spybot schon über meine PC laufen liess. beide Progrämmchen haben einige Dateien gelöscht.
ganz am schluss hat eScan aber trotzdem nochmal 28 Elemente unbenannt oder gelöscht.

hier ist mal das logfile von HijackThis
-------------------------------------------------------------------------------
Logfile of HijackThis v1.97.7
Scan saved at 19:41:24, on 08.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\loading.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Internet\Browser\Firefox\firefox-0.9.3-win32-deDE\firefox\firefox.exe
C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://drusearch.com/user6/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_h.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_h.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_h.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_s.html
O2 - BHO: (no name) - {52C86756-903F-4A58-80DC-9D4FA6B89481} - C:\WINDOWS\System32\koaoaa.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {F9631037-FCB2-4F76-A6D0-8B3A8764F75A} - C:\WINDOWS\System32\Q5350468.dll
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe
O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe
O4 - HKLM\..\Run: [Windows Shell Library Loader] loading shell32.dll /c /set
O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe
O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=vad::/win.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4532735100030c99da9ee18274076591321e8833f80ab91636fd51037d3ffa27b48b2691f3b04343f15db41e9440fa97f25e05813280d97d:b0cf57d56ddd1008b8819d33c3794247
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097004820007
O19 - User stylesheet: C:\WINDOWS\win32.bmp
----------------------------------------------------------------------------

und vom eScan hab ich auch noch ein Logfile.
jedoch nicht das ganze, dass käme nämlich der Atomaren Sprenung dieses Posts bei, wurden doch über 61000 Dateien gescannt.
darum habe ich einfach den Virenlog in eine Textdatei kopiert.
und hier wär der besagte Log:
----------------------------------------------------------------------------
File C:\WINDOWS\win32.exe infected by "Trojan.Win32.StartPage.gh" Virus. Action Taken: File Deleted.
File C:\WINDOWS\hrtcm.exe infected by "Trojan.Win32.StartPage.jl" Virus. Action Taken: File Deleted.
File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed.
File C:\WINDOWS\System32\fcgobaaa.tmp infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\OutLook.exe infected by "Trojan.PSW.Delf.eb" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Media\KaZaA\PerfectNavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Ripper\CD Ripper\Easy CD Ripper\ezcdr_inst.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\THI4657.tmp\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2TSLG3I1\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2TSLG3I1\online[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MZGFKNMX\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1Q9OBKJ\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1Q9OBKJ\online[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed.
File C:\Program Files\Internet Optimizer\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted.
File C:\Programme\Windows Media Player\wmplayer.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005220.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005221.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005389.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005406.DLL infected by "TrojanDownloader.Win32.FunWeb.a" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006265.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006268.dll infected by "TrojanDownloader.Win32.IstBar.dh" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006269.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0008379.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0008384.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009428.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009491.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009492.dll infected by "not-a-virus:AdvWare.BiSpy.n" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009493.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011507.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011509.exe infected by "Trojan.Win32.StartPage.gh" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011510.exe infected by "Trojan.Win32.StartPage.jl" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011511.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011512.exe infected by "Trojan.PSW.Delf.eb" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011513.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011514.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011515.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted.
File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011516.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted.
File C:\WINDOWS\Downloaded Program Files\ad.exe infected by "TrojanDownloader.Win32.Donn.ab" Virus. Action Taken: File Deleted.
----------------------------------------------------------------------------

so, jetzt brauche ich noch eure Hilfe beim Analysieren dieser beiden Dateien.
Also beim Logfile von eScan ist's klar. da ist ja schon alles gelöscht oder umbenannt oder was auch immer.
allerdings vermute ich im Logfile von HijackThis noch das eine oder andere nicht benutzerfreundliche progrämmche.
könnte mir da vielleicht jemand helfen diese zu finden.
Habe jez auch mal in der Registry rumgeforscht.
dort habe ich mal alles verdächtige gelöscht (und der PC läuft noch
unter anderem alles in dem Richfind steht oder irgendetwas mit einer Toolbar zu tun hat und dann auch noch alle Einträge unter
HKEY_LOKAL_MACHINE>Software>Microsoft>Windows>Current Version>Internet Settings>Zone Map>Domains
Aber ich habe festgestellt, dass wenn ich den IE starte, erstellt Richfind eine Zeichenfolge unter
HKEY_LOKAL_MACHINE>Software>Microsoft>Internet Explorer>Search
Wenn ich den wert lösche, wird er einfach neu eingetragen wen ich den IE das nächste mal starte.
Würde es etwas bringen den PC neu aufzusetzten?
würde Richfind dann nicht immernoch eindringen?

in diesem sinne.
schönes wochenende und danke schon im voraus.
moelbi

PS. Richfind ist ja die Toolbar die sich bei mir im Internet Explorer und im Explorer festgesetzt hat, ausserdem ändert Richfind andauernd meine Startseite

#5 Hallo @moelbi

Ist das Log vom HijackThis vor oder nach der Anwendung von escan gemacht ???
Auf jeden Fall ist dein PC voellig verseucht...Wenn ich posten wuerde, was du alles fixen musst, waeren es fast alle Eintraege....
____________________________________________________________________________

Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
http://www.dirks-computerecke.de/windows-xp-firewall.htm
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
Alternativ/Mail zum Outlook
http://www.alles-und-umsonst.de/kostenlos/email.html
Thunderbird Mail
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten
9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
http://www.free-av.de/
10) alle Passworte aendern
11) Die xp-Firewall deaktivieren und (zum Beispiel) laden:
<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/
12)<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php
13)TCPView 2.34
http://www.sysinternals.com/ntw2k/source/tcpview.shtml
as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri)
13)#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt
http://www.almisoft.de/traxex2.htm


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#6 hi

ist das ein spiel pc oder werden hier auch wertvolle persönliche daten verwaltet
wenn ersteres kannst du ein wenig fixen (eben spielen), aber wenn z.B. onlinebanking --> format:C und der sehr ausführlichen und sehr gut beschriebenen anleitung von Sabina folgen
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#7

Zitat

Sabina postete

11) Die xp-Firewall deaktivieren und (zum Beispiel) laden:
<Kerio Personal Firewall
Kerio ist freeware für den privaten Gebrauch.
http://www.kerio.com/kpf_download.html
<Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x
Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal).
http://www.firewallinfo.de/handbuecher/tiny_kerio_20/

Bloß eine kleine Anmerkung
Bei einer sicheren Konfiguration der Windowsdienste ist der Einsatz einer PFW nicht zwingend.
Wer sich dennoch eine PFW installieren möchte kann z.B. die Kerio PFW ausprobieren.
Persönlich würde ich aber zur Version 2.1.5 raten.
Wichtige Vorteile gegenüber Version 4.xxx
Runs as Internet Gateway (LAN) ist nicht auf 30 Tage begrenzt.
Die FW ist sehr schlank und verschlingt kaum Ressourcen.
Das Produkt ist ausgereift und es gibt nur sehr selten damit Probleme.
Wichtige Nachteile gegenüber Version 4.xxx
.DLL-Injection wird nicht erkannt.
Diese Technik kann von Malware benutzt werden um unerkannt Datenpakete zu verschicken.
Wenn man die viele Möglichkeiten bedenkt mit denen die Version 4.xxx (und generell alle PFWs) umgangen werden können, relativiert sich auch dieser Nachteil.
Übrigens ist hier ein übersichtlicher Vergleich aufgestellt.

Gruß
Ajax

#8 OK, werd den PC wohl neu aufsetzten müssen.
zum Glück hab ich noch keine wichtigen daten drauf. und den rest kann ich Backupen.
normalerweise surfe ich auch mit Firefox, da ich den PC aber erst neu aufgesetzt hatte, waren sie noch nicht installiert.
tja, das war dan wohl ein Eigentor.
ach ja, ich habe zuerst mit HijackThis und danach mit eScan gescannt.
Ich hab mal so ziemlich alles gelöscht und nochmal mit HijackThis gescannt.
Hier das Logfile:
------------------------------------------------------------------------------
ogfile of HijackThis v1.97.7
Scan saved at 11:17:56, on 10.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\loading.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Internet\Browser\Firefox\firefox-0.9.3-win32-deDE\firefox\firefox.exe
C:\WINDOWS\System32\devldr32.exe
C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe

R3 - URLSearchHook: Richfind - {116A5A20-E2AF-4A41-8E90-93CFB2E774DD} - C:\WINDOWS\System32\Q5350468.dll (file missing)
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097004820007
----------------------------------------------------------------------------

sieht doch schon besser aus. allerdings ist das Problem das Richfind ja immer wieder kommt.
also Pech gehabt.
trotzdem danke,
hab hier noch einiges gelernt.
schönen Sonntag noch
moelbi

#9 Hallo @moelbi

Ueberpruefe diese exe [poste das Ergebnis]
http://virusscan.jotti.dhs.org/
C:\WINDOWS\System32\loading.exe

und fixe:
R3 - URLSearchHook: Richfind - {116A5A20-E2AF-4A41-8E90-93CFB2E774DD} - C:\WINDOWS\System32\Q5350468.dll (file missing)

Gehe in die Registry
Start<Ausfuehren<regedit
Gib in die Suchfunktion oben links ein: Q5350468.dll und loesche rechts in der Registry alles, was du findest.

Dann oeffne noch einmal das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: Q5350468.dll den PC neustarten.

#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hmm... danke für den Tipp Sabina.
Wäre noch ein interessantes Experiment.
Aber ich habe dir schon vorgegriffen und gestern den PC neu aufgesetzt.
also nix mehr mit Richfind. endlich!
aber danke für die Hilfe.

wünsche allen noch eine schöne Woche
moelbi

#11 HI,


könntest bei mir auch mal nen blick drauf werfen,

Logfile of HijackThis v1.97.7
Scan saved at 20:04:41, on 11.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
F:\Daemon\daemon.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Common\Bin\WinCinemaMgr.exe
F:\Trillian\trillian.exe
F:\FlashFXP\FlashFXP.exe
F:\Opera\Opera.exe
F:\warhammer\W40k.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\planner\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Daemon\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Common\Bin\WinCinemaMgr.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4084722222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#12 Hallo @Sebuko

Du solltest unbedingt die WindowsUpdates machen, den IE auf IE SP1 aktualisieren und einen Antivirenscanner installieren.
#Antivirus (free)
http://www.free-av.de/
#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hi
nicht nur ie sondern auch windowsxp auf sp2 und hijackthis auf 1.98.2
bitte hijackthis einen eigenen ordner unter programmen gönnen
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links

#14 Ich würde mal diese hier löschen:
C:\WINDOWS\System32\nvsvc32.exe
F:\Daemon\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Common\Bin\WinCinemaMgr.exe
F:\Trillian\trillian.exe
F:\FlashFXP\FlashFXP.exe
F:\warhammer\W40k.exe
ausser sie gehören oder sind irgendwelche Programme welche du willst.

und ausserdem würde ich 03-O16 alle löschen.
alles was da an normalen Programmen zusammenfällt kann man ja wieder installieren wen es nicht mehr richtig läuft oder das Programm schreibt alle Einträge von selbst neu.

und zur weiteren Sicherheit würde ich auf einen alternativen Browser umsteigen.
ich empfehle Opera
(Mozilla und Firefox sind zwar auch gut aber... naja)

also dann noch schönes werkeln.
moelbi

#15

Zitat

moelbi postete
Ich würde mal diese hier löschen:
C:\WINDOWS\System32\nvsvc32.exe
F:\Daemon\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Common\Bin\WinCinemaMgr.exe
F:\Trillian\trillian.exe
F:\FlashFXP\FlashFXP.exe
F:\warhammer\W40k.exe
ausser sie gehören oder sind irgendwelche Programme welche du willst.

und ausserdem würde ich 03-O16 alle löschen.
alles was da an normalen Programmen zusammenfällt kann man ja wieder installieren wen es nicht mehr richtig läuft oder das Programm schreibt alle Einträge von selbst neu.

und zur weiteren Sicherheit würde ich auf einen alternativen Browser umsteigen.
ich empfehle Opera
(Mozilla und Firefox sind zwar auch gut aber... naja)

also dann noch schönes werkeln.
moelbi

@moelbi........Also bitte , diese Tipps waren wohl ein bisschen daneben
@Sebuko, bitte nichts davon machen !!!!!
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit