Home » Viren, Trojaner & Malware Forum » trojaner? malewarebefall? weiß nicht weiter! » Themenansicht
trojaner? malewarebefall? weiß nicht weiter! |
||
|---|---|---|
| #0
| ||
|
24.10.2004, 11:42
...neu hier
Beiträge: 10 |
||
 
|
|
|
|
24.10.2004, 12:24
Moderator
Beiträge: 7805 |
#2
Zu diesem Porblem solltest du ein Hijackthis log posten.
www.hjt.klaffke.de __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.10.2004, 12:26
...neu hier
Themenstarter Beiträge: 10 |
#3
aktueller log:
Logfile of HijackThis v1.98.2 Scan saved at 12:23:28, on 24.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Fast.exe C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\System32\fast.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\VIVANCO\Primary Optical Mouse\4.0\lwbwheel.exe C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE C:\WINDOWS\System32\xpservicepack2.exe C:\WINDOWS\System32\wserv32.exe C:\WINDOWS\System32\windowsxpupdate.exe C:\WINDOWS\System32\tdjjjh.exe C:\Program Files\Win Comm\WinComm.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Win Comm\WinLock.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\explorer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\a2 free\a2start.exe C:\Programme\a2 free\a2scan.exe C:\Dokumente und Einstellungen\Olga\Eigene Dateien\Programme\installer\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [mouseElf] C:\Programme\Genius NetScroll + Series Mouse\mouseElf.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\VIVANCO\Primary Optical Mouse\4.0\lwbwheel.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [SimpleScreenshot] C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WindowsXP Update] windowsxpupdate.exe O4 - HKLM\..\Run: [yfbspbrskj] C:\WINDOWS\System32\tdjjjh.exe O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [eDonkey2000] "C:\Programme\eDonkey2000\edonkey2000.exe" -t O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\RunServices: [WindowsXP Update] windowsxpupdate.exe O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [AAW] "C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe" "+b1" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [WindowsXP Update] windowsxpupdate.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: bootWin.bat O4 - Global Startup: E_SPSU01.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SPSU01.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Time Zones for PCs.lnk = C:\Programme\Time Zones for PCs\TZPC.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm796XXUS O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O10 - Broken Internet access because of LSP provider 'xfire_lsp_9425.dll' missing O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll O12 - Plugin for .tiff: C:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll |
|
|
|
|
|
|
24.10.2004, 13:18
Moderator
Beiträge: 7805 |
#4
Hui! Da ist wirklich einiges . Fix bitte das im abgesicherten Modus:
O4 - HKLM\..\Run: [WindowsXP Update] windowsxpupdate.exe O4 - HKLM\..\Run: [yfbspbrskj] C:\WINDOWS\System32\tdjjjh.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\RunServices: [WindowsXP Update] windowsxpupdate.exe O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [WindowsXP Update] windowsxpupdate.exe Starte neu und schicke bitte folgende Dateien an virus@protecus.de . C:\WINDOWS\System32\xpservicepack2.exe C:\WINDOWS\System32\wserv32.exe C:\WINDOWS\System32\windowsxpupdate.exe C:\WINDOWS\System32\tdjjjh.exe Du solltest dich aber trotzdem schon mal hier durcharbeiten. Besonders das zweite Posting  http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.10.2004, 20:07
...neu hier
Themenstarter Beiträge: 10 |
#5
danke!
wie geht aber das mitm abgesicherten modus? hab es schon einmal gemacht weiß aber nimmer genau wie das geht! á propos mein virenscanner hat heute einen trojaner gefunden... TR/Istbar.Ugruß, oli |
|
|
|
|
|
|
24.10.2004, 20:51
...neu hier
Themenstarter Beiträge: 10 |
#6
hab es doch geschafft und die dateien gefixt.
kann aber die dateien die du aufgelistet hast nicht schicken da ich sie weder manuell noch per suche finden kann! |
|
|
|
|
|
|
24.10.2004, 20:56
Moderator
Beiträge: 7805 |
#7
Hauptsache, du bist zufrieden.
Ausschnitt aus dem Escan artikel von Trojaner-info: Werden eine oder mehrere Dateien nicht angezeigt, muss im Windows Explorer unter 'Extras/Ordneroptionen' -> 'Ansicht' -> der Haken bei 'Geschützte Systemdateien ausblenden (empfohlen)' entfernt, sowie 'Alle Dateien und Ordner anzeigen' aktiviert werden. Vieleicht siehst du sie ja dann. Denn da sind sie! __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.10.2004, 21:32
...neu hier
Themenstarter Beiträge: 10 |
#8
danke, da sind sie! (diese funktion war aber bei mir immer eingeschaltet, die dateien nicht auszublenden - eben um zu schauen ob mein bruder vllt. irgendwas auf dem pc versteckt - von daher habe ich nicht daran gedacht...)
was bringt es eigtl. dass ich die dateien an die o.g. adresse geschickt hab??? gruß, oli |
|
|
|
|
|
|
24.10.2004, 21:44
Moderator
Beiträge: 7805 |
#9
Es geht mir darum, was diese Dateien sind, bzw ob sie erkannt werden. Werden sie es nicht, werden sie an diverse Av-Hersteller geschickt.
DArum auch die Antwort: Das waren alles Rbots, bzw eine Agent Variante( Hijacker/Downloader). Bitte arbeite dich hier durch: http://www.rokop-security.de/board/index.php?showtopic=3867 Besonders das zweite Posting, wenn du es auch nicht komplett durchziehst, halte dich doch wenigstens etwas daran. __________ MfG Ralf SEO-Spam Hunter |
|
|
|
|
|
|
24.10.2004, 22:00
...neu hier
Themenstarter Beiträge: 10 |
#10
hmmmm.
das mitm formatieren hab ich mir auch schon überlegt... da es aber viel zeit kostet, mache ich es wenn überhaupt erst in den ferien (in einer woche). ansonsten... ich glaube alle sicherheitsmaßnahmen nützen nix wenn diese pornosites dauernd erneut aufgerufen werden... hoffentlich macht er das nimmer nachdem die eltern das erfahren haben... ich schau ob es besser geworden ist wenn ned poste ich hier wieder! hier wird einem echt geholfen! danke! oli |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
habe seit neuestem ein großes problem. habe allerdings den verdacht dass es ein trojaner ist, bloß habe ich keine ahnung wie ich ihn loswerde.
vorgeschichte: pc wurde langsamer. erster gedanke - arbeitsspeicher - falsch. nachdem ich ein bisschen recherchiert hab, hab ich rausgefunden dass mein pubertierender bruder heimlich pornosites angeschaut hat. allerdings war er wenigstens so schlau dass ernur die kostenlosen "eingangsseiten" angeschaut hat, d.h. unsere telefonrechnung war nicht betroffen.
seitdem kommen bei uns (bei jedem benutzer) diverse werbefenster raus, die vom popupblocker (vom google) nicht blockiert werden. wie schon erwähnt ist der pc langsam geworden, fenster (z.b. word, icq, windows explorer) schließen sich von selbst. scanner wie a2, spyboot-search&destroy, Ad-Aware finden bei jedem scan ca. 100 verdächtige dateien. doch obwohl ich sie jedes mal lösche, werden sie bei neuem scan erneut gefunden!
ich habe windows xp home edition, sygate personal firewall, AntiVir-PersonalEdition (das keine Viren oder Würmer entdeckt hat, also muss es ein trojaner sein???)
ich hoffe, jemand kann mir helfen,
gruß,
oli
edit: beim starten des pcs (nachdem ich online gehe) kommt eine verdächtige seite mit http://203.... (weiter weiß ich nicht) mit dem fenster "you must click yes to allow this site" o.ä., also eine dialersite, und bei der manuellen suche nach schlagwörtern wie sex oder xxx finde ich z.b. cookies wie (benutzername)@xxxtoolbar.installer.... doch löschen bringt nicht viel, sie kommen wieder!