3 Trojaner nach Internet-Explorer benutzung

#0
19.01.2006, 20:21
...neu hier

Beiträge: 10
#1 guten tag

ich benutze eigentlich immer firefox
heute habe ich einmal den IE benuzt und bin gleich mit trojanern bombadiert worden.

mein mcafee hat auch eine meldung gebracht konnte diese aber nicht entfernen.

kommischerweise sind seit da, die meisten verknüpfungen auf dem desktop verschwunden.
auch existiert mein benutzer-ordner in C:\Dokumente und Einstellungen nicht mehr.

habe mit spywaredoctor gescannt und auch diverse sachen in quarantäne verschoben.

ich konnte mit der suchen-funktion leider nichts finden.

vielen dank für die hilfe.
rotschman






Logfile of HijackThis v1.99.0
Scan saved at 20:26:34, on 19.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\Tablet.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\McAfee.com\VSO\mcvsshld.exe
c:\programme\mcafee.com\agent\mcagent.exe
C:\Programme\McAfee.com\VSO\oasclnt.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
c:\programme\mcafee.com\shared\mghtml.exe
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\war*hier nicht!*\security\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKCU\..\Run: [MMAgent] C:\Programme\Mobile Master\MMAgent.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: ColorVisionStartup.lnk = C:\Programme\PANTONE COLORVISION\Startup\ColorVisionStartup.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: IEbatch (IE automation program) - {331AFAD7-55BB-49D3-A32B-510930B9FBD9} - C:\Programme\IEbatch\Bin\IEbatch.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=34738&clcid=0x409
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1108286855181
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{055DFEAB-0216-4B1E-A511-CA410208F43C}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{73FFE290-9BD7-4B67-AB01-54BA1B00E2DF}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{055DFEAB-0216-4B1E-A511-CA410208F43C}: NameServer = 192.168.123.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{055DFEAB-0216-4B1E-A511-CA410208F43C}: NameServer = 192.168.123.254
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: McAfee WSC Integration - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pephiddsd - Wacom Technology Corporation - (no file)
O23 - Service: PC Tools Spyware Doctor - Unknown - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] - Unknown - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe
Seitenanfang Seitenende
20.01.2006, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 rotschman

Pephiddsd - Wacom Technology Corporation --> was hast du da geladen ? Ist bei den Diensten aktiv...ich kenne es nicht. Berichte bitte

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Lade die datFind.bat. Im Texteditor wird ein Log erscheinen. Kopiere es ab und wenn moeglich, als Anhang in den Thread.
http://board.protecus.de/download.php?id=213002.datFind.bat

Download f-secure-Beta Trial

http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine log-datei auf dem Desktop: kopiere sie in deinen Thread

---------------------------------

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{055DFEAB-0216-4B1E-A511-CA410208F43C}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{73FFE290-9BD7-4B67-AB01-54BA1B00E2DF}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{055DFEAB-0216-4B1E-A511-CA410208F43C}: NameServer = 192.168.123.254

Suchbegriff: 192.168.123.254
Adresse: whois.arin.net

Suchergebnis:

OrgName: Internet Assigned Numbers Authority
OrgID: IANA
Address: 4676 Admiralty Way, Suite 330
City: Marina del Rey
StateProv: CA
PostalCode: 90292-6695
Country: US

NetRange: 192.168.0.0 - 192.168.255.255




__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.01.2006, 15:04
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo Sabina


Wacom ist mein tablett. also alles io.




hier der log vom datFind.bat:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C827-6A6C

Verzeichnis von c:\

20.01.2006 15:00 0 dirdat.txt
20.01.2006 14:55 1'610'612'736 pagefile.sys
12.12.2005 18:07 1'002 Install.log
12.12.2005 18:07 1'540 DrvInst (1).log
09.04.2005 07:03 211 boot.ini
09.04.2005 06:59 47'564 NTDETECT.COM
09.04.2005 06:59 251'184 ntldr
13.02.2005 14:46 0 itouch_crash_info.txt
13.02.2005 09:54 0 MSDOS.SYS
13.02.2005 09:54 0 CONFIG.SYS
13.02.2005 09:54 0 IO.SYS
13.02.2005 09:54 0 AUTOEXEC.BAT
18.08.2001 20:00 4'952 bootfont.bin
13 Datei(en) 1'610'919'189 Bytes
0 Verzeichnis(se), 6'175'006'720 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C827-6A6C

Verzeichnis von C:\WINDOWS\system32

20.01.2006 14:56 15'836 tablet.dat
20.01.2006 14:55 223'488 OODBS.lor
19.01.2006 21:15 16'420 BMXStateBkp-{00000002-00000000-0000000D-00001102-00000002-80611102}.rfx
19.01.2006 21:15 24'888 BMXBkpCtrlState-{00000002-00000000-0000000D-00001102-00000002-80611102}.rfx
19.01.2006 21:15 24'888 BMXCtrlState-{00000002-00000000-0000000D-00001102-00000002-80611102}.rfx
19.01.2006 21:15 16'420 BMXState-{00000002-00000000-0000000D-00001102-00000002-80611102}.rfx
19.01.2006 21:15 24 DVCStateBkp-{00000002-00000000-0000000D-00001102-00000002-80611102}.dat
19.01.2006 21:15 1'080 settingsbkup.sfm
19.01.2006 21:15 1'080 settings.sfm
19.01.2006 21:15 24 DVCState-{00000002-00000000-0000000D-00001102-00000002-80611102}.dat
19.01.2006 20:47 86'924 kspydoc.log
19.01.2006 20:39 0 Sweeper.cfg
19.01.2006 19:13 14'848 BASSMOD.dll
19.01.2006 19:06 2'206 wpa.dbl
15.01.2006 08:34 247'904 FNTCACHE.DAT
10.01.2006 05:24 100 LuResult.txt
07.01.2006 11:26 1'643 lvcoinst.log
05.01.2006 04:41 2'836'320 MRT.exe
29.12.2005 03:54 280'064 gdi32.dll
01.12.2005 04:31 1'492'480 shdocvw.dll
24.11.2005 00:58 1'022'464 browseui.dll
24.11.2005 00:58 3'013'632 mshtml.dll
23.11.2005 17:40 5'618 jupdate-1.5.0_05-b05.log
05.11.2005 04:16 606'208 urlmon.dll
05.11.2005 04:16 1'056'256 danim.dll
30.10.2005 07:26 376'968 perfh009.dat
30.10.2005 07:26 62'114 perfc007.dat
30.10.2005 07:26 51'376 perfc009.dat
30.10.2005 07:26 387'716 perfh007.dat
30.10.2005 07:26 888'276 PerfStringBackup.INI
21.10.2005 04:40 664'064 wininet.dll
21.10.2005 04:40 474'112 shlwapi.dll
21.10.2005 04:40 39'424 pngfilt.dll
21.10.2005 04:40 448'512 mshtmled.dll
21.10.2005 04:40 530'944 mstime.dll
21.10.2005 04:40 146'432 msrating.dll
21.10.2005 04:40 96'768 inseng.dll
21.10.2005 04:40 251'392 iepeers.dll
21.10.2005 04:40 55'808 extmgr.dll
21.10.2005 04:40 205'312 dxtrans.dll
21.10.2005 04:40 152'064 cdfview.dll
20.10.2005 23:25 1'094'144 esent.dll
18.10.2005 11:08 349'760 mcinsctl.dll
17.10.2005 22:20 118'272 t2embed.dll
17.10.2005 22:20 80'896 fontsub.dll
Seitenanfang Seitenende
20.01.2006, 16:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 als Anhang (siehe unten) waere es besser gewesen...kopiere den Rest)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende