Rechner verschickt Emails-ohne das Outlook offen ist/Troj/Banker-Y |
||
---|---|---|
#0
| ||
11.11.2004, 12:45
Member
Beiträge: 39 |
||
|
||
11.11.2004, 15:47
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
Du hast einen StartseitenTrojaner. [Win32/Dialer.NAD Trojaner] #Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://thenewsearch.com/thenewsearch.html* O2 - BHO: (no name) - {00000000-663f-49e8-bdf6-f26db51c7dd5} - (no file) neustarten Suche und loesche: <RdgPT1342.exe um das zu loeschen: <C:\Documente~1\Username\Locals~1\temp\erg9kcun.exe (?) <C:\Documente~1\Username\Locals~1\temp\68wx6xlx.exe (?) loesche die Temporaeren Dateien: #Datentraegerbereinigung: und Loeschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporary Internet Files/TEMPORÄRE INTERNET DATEIEN, O.K #Click:TEMPORÄRE DATEIEN, O.K. #eScan-Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp <Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken. <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten, #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.11.2004 um 15:59 Uhr von Sabina editiert.
|
|
|
||
15.11.2004, 15:42
Member
Themenstarter Beiträge: 39 |
#3
Hi Sabina,
ich konnte den E-Scan aus Zeitgründen nicht ganz durchlaufen lassen, folgendes nach ca 60%, Rest folgt, vielleicht war es das aber auch. Ich habe heute ein neues Norton System works 2005 erhalten und installiert. Dieses hat nur einen Virus entfernt (Adware blabla), also werden andere noch drauf sein. Wie können wir uns hier besser schützen? File C:\WINDOWS\System32\eplrr3.dll infected by "TrojanProxy.Win32.Small.ah" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\eplrr3.dll infected by "TrojanProxy.Win32.Small.ah" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\C9.tmp tagged as not-a-virusornWare.Dialer.Generic. No Action Taken. File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\ICD1.tmp\ied.exe infected by "TrojanDownloader.Win32.Mediket.b" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\temp.fr90F6 tagged as not-a-virus:AdWare.ToolBar.Tubby.b. No Action Taken. File C:\Downloads\Download DivX\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\ied_s7m.cab infected by "TrojanDownloader.Win32.Mediket.b" Virus. Action Taken: No Action Taken. |
|
|
||
16.11.2004, 01:47
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@drnoodle
Auf Norton kannst du meiner Meinung nach verzichten, er taugt nichts. #eScan-Trial...dann eine Jahreslizenz erwerben (ist nicht teuer) ftp://update.mailscan.info/download/tools/ http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe Die Viren loescht du so: oeffne das HijackThis: <HijackThis-->Config-->Misc Tools-->Delete a file on reboot kopiere rein: C:\WINDOWS\System32\eplrr3.dll PC neustarten loesche manuell (oder mit dem HijackThis C:\ied_s7m.cab ............................................ #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost ................................................... Datentraegerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren<cleanmgr #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Dann muesste alles wieder o.k. sein. Poste also das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 01:50 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 10:41
Member
Themenstarter Beiträge: 39 |
#5
Danke für deine Hilfe... hier der neue LOG.
Logfile of HijackThis v1.98.2 Scan saved at 10:41:19, on 16.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Nhksrv.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\WINDOWS\DELLMMKB.EXE C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Netropa\OSD.exe C:\Programme\Teledat\TelFax32.exe C:\Programme\Teledat\IWatch.exe C:\Programme\Teledat\TelVox32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\USER-----\Desktop\Anti Spyware\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161 O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll (file missing) |
|
|
||
16.11.2004, 11:39
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@
Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden. Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird. lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten: 'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold', 'pecunix', 'moneybookers.com'. Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet. lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten. Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\eplrr = HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll (wobei <CLSID> variabel ist.) Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter. Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden. ---------------------------------------------------------------------------------- Gehe in die Registry Start<Ausfuehren<regedit HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\ loesche: eplrr = HKCR\CLSID\<CLSID>\InprocServer32 = loesche: %SYSTEM%\eplrr.dll Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll (file missing) [Troj/Banker-Y] neustarten HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\lsd_f3.dll PC neustarten #Start<Ausfuheren<cmd kopiere in das DOS-Fenster:: attrib -h %systemroot%\System32\eplrr3.dll & ren %systemroot%\System32\eplrr3.dll Badfile.bad HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\eplrr3.dll PC neustarten ................................................................................................... Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen suche \loescheWindows.Suchfunktion: <filtmp [filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht] <tmpf [ tmpf??.exe (wobei ?? für eine zweistellige Zahl steht] Dann poste das neue Log vom HijackThis. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 11:52 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 11:51
Member
Themenstarter Beiträge: 39 |
#7
ehm... wir machen von dem rechner aus Online Banking... sollten wir wohl mal alle Kontoauszüge prüfen?! örx... ich mache jetzt mal alles was du gepostet hast und poste die log. sag mir dann bescheid, wenn online banking wieder sicher ist - davor wird nichts mehr überwiesen.
|
|
|
||
16.11.2004, 11:53
Ehrenmitglied
Beiträge: 29434 |
#8
Gott..ueberpruefe das !!!!!!!!!!!!!! und aendere alle Daten/Passworte, wenn der PC sauber ist.
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
16.11.2004, 12:11
Member
Themenstarter Beiträge: 39 |
#9
von allen zugängen??
in der registry wurde nichts unter CLSID gefunden. Auch bei Highjackthis war kein eintrag mehr . edit: unter command wurde auch nichts gefunden. Dieser Beitrag wurde am 16.11.2004 um 12:44 Uhr von drnoodle editiert.
|
|
|
||
16.11.2004, 12:51
Member
Themenstarter Beiträge: 39 |
#10
Habe von den angegebenen Daten nichts mehr finden können, ausser der die man mit Hijackthis vor systemstart löschen sollte. neuer Log.
Logfile of HijackThis v1.98.2 Scan saved at 12:51:05, on 16.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Nhksrv.exe C:\WINDOWS\System32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\WINDOWS\DELLMMKB.EXE C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Netropa\OSD.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Teledat\IWatch.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe C:\Dokumente und Einstellungen\USER -----\Desktop\Anti Spyware\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161 |
|
|
||
16.11.2004, 13:54
Ehrenmitglied
Beiträge: 29434 |
#11
<o.k. scanne noch mal mit Escan und berichte.
<aendere alle Daten/Passworte, wenn der PC sauber ist. denn alle Die gespeicherten Daten vom Trojaner werden via HTTP an einen remoten Speicherort gesendet. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 13:57 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 13:59
Member
Themenstarter Beiträge: 39 |
#12
habe e-scan installiert und durchlaufen lassen. soll ich norton internet security wieder deinstallieren? hat uns 80 euronen gekostet der sch****!
was kostet denn ein reg-key für e-scan? ich lass eben nochmal scannen... vorhin hat er aber nicht gemeckert. Alle Passwörter zu ändern ist eine Aufgabe... Email, FTP, Homepage :/ Das wird ne Lebensaufgabe. Bankzugang kann man ja auch nicht so einfach ändern, das muss die Bank selbst machen. Da gibt es ja zum Glück noch TAN... naja ich werd versuchen alles zu ändern. Viren halten die Wirtschaft echt auf trab... wenn ich irgendwann mal einen Programmierer zu fassen bekomme, dann gnade ihm... wir müssen hier arbeiten--- jeder Betrieb braucht ja fast einen IT Menschen ich habe eben noch mozilla firefox installiert, bekomme aber immer die meldung: verbindung zurück gesetzt. E-Scan hat noc heinen gefunden und gelöscht: Trojan-Downloader.Win32.Mediket.d Dieser Beitrag wurde am 16.11.2004 um 14:39 Uhr von drnoodle editiert.
|
|
|
||
16.11.2004, 14:54
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@
ein Informatiker (Sicherheitsspezialist) ist eine gute Idee fuer eine Firma mit grossem Net.Volumen. Wie helfen hier , aber es ist schon was anderes, wenn man selbst am teckeln ist (also am PC sitzt) oder alles per Schriftverkehr abwickelt) #eScan-Trial ftp://update.mailscan.info/download/tools/ http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) (ist ein Jaehrliches Abo...27 Dollar ???), bin mir nicht sicher, musst du selbst rausfinden. Dem Symantec-Virenscanner wuerde ich nicht vertrauen...ist absoluter Schrott. ) Verkauf ihn bei .....eBay (war ein Spass) microsoft.public.de.security.heimanwender FAQ http://faq.underflow.de/#SECTION000110000000000000000 #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 14:58 Uhr von Sabina editiert.
|
|
|
||
16.11.2004, 15:02
Member
Themenstarter Beiträge: 39 |
#14
wieso nicht bei ebay verkaufen, zurückgeben können wir das ja eh nicht mehr.
e-scan scheint wirklich besser zu sein, hat ja eben auch nochmal einen virus gefunden. kannst du mir noch eines erklären? der neue browser firefox kann keine internet verbindung herstellen. wird immer zurückgewiesen. ich hab aber nach installatio nnoc hkeinen reboot gemacht, da e-scan noch zugange ist. oder mag das xp-sp2 den neuen browser nicht leiden... wo kann ich dir eigentlich ein strauss blumen hinschicken für die nette hilfe? |
|
|
||
16.11.2004, 16:01
Ehrenmitglied
Beiträge: 29434 |
#15
Eigentlich muesste der Firefox funktionieren, wenn du ihn als Standardbrowser einstellst.
#Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 wenn alles sauber ist, boote und aktiviere ihn wieder. .............................................................................................................. Die Blumen werden verwelkt sein, wenn sie bei mir ankommen, aber dennoch vielen Dank fuer die nette Geste mfg Gruss aus Lissabon Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.11.2004 um 16:03 Uhr von Sabina editiert.
|
|
|
||
unser Arbeitsrechner ist offensichtlich verseucht, es ist Ad-Aware SE 1.05, Norton 2002, Stinger, Hijackthis und Spybot S&D installiert. Wenn der Rechner online ist, verschickt er selbständig Mails, das sehe ich an der Benachrichtigung von Symantec - "Ihre Email wird verschickt", nur leider ist nichtmal Outlook offen!
Viren werden nicht gefunden, Ad-Aware findet nichts, der Spybot hat ein paar Kleinigkeiten gefunden, u.a. einen Dialer. Diesen habe ich eben entfernt.
Wäre toll wenn mir hier geholfen würde, da der Rechner ziemlich gelähmt wird durch dieses selbständige Email verschicken. Wir wissen nicht einmal wo diese Mails hingehen...
Log von Hijackthis:
C:\Programme\Teledat\IWatch.exe
C:\Programme\Teledat\TelVox32.exe
C:\Programme\Netropa\OSD.exe
C:\WINDOWS\Nhksrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinFax\FAXMNG32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\USER--------\Desktop\Anti Spyware\stinger.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\USER--------\Desktop\Anti Spyware\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm
O2 - BHO: (no name) - {00000000-663f-49e8-bdf6-f26db51c7dd5} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~2\NORTON~3\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll
Danke im vorraus!