Spyware Diskussion von unseren Experten... :)

Thema ist geschlossen!
Thema ist geschlossen!
#0
13.04.2006, 23:33
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#16 Hab mal mein Rechner mit True Sword gescannt
Fand in C:\Windows\System32\Inetsrv\inetinfo.exe den Trojaner Proxy-gg




Hab darauf mit Multi-AV (Sophos) ein scan gemacht und es wurde nichts gefunden

Habe auf eine andere Seite wieder True Sword runtergeladen und wieder wurde in C:\Windows\System32\Inetsrv\inetinfo.exe ein Trojaner gefunden aber diesmal den BINGHE




Komisch war,das die Roten warnungen eher kamen als der Scanner lol
Sind also "Fake"scanner
__________
MfG Argus
Dieser Beitrag wurde am 13.04.2006 um 23:41 Uhr von Arnold editiert.
Seitenanfang Seitenende
13.04.2006, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 True Sword

ohne Worte ;) ..Netsky-Wurm
Sch...wieder so ein Faketool... im Winload Forum geladen....
Nachdem ich die Nachricht weggeklickt habe, kamen noch ca. 20 andere, Trojaner (von Kaspersky so und so erkannt... usw.)



Hostway Whois Server Version 1.0
Domain Name: securitystronghold.com
Registrar: AAAQ.COM
Whois Server: whois.aaaq.com
Referral URL: http://www.aaaq.com
Name Server: ns39.dedicatedusa.com
Name Server: ns40.dedicatedusa.com
Status: ACTIVE
Updated Date 2005-10-06
Creation Date: 2004-06-27
Expiration Date: 2006-06-29

Registrant:

KONSTANTIN ARTEMEV kostia_artemiev@mail.ru
28 Army Street 16/1, flat 69

Astrakhan, Astrakhan 414056
RU
+7-851-2-546183 Fax:

Administrative Contact:
KONSTANTIN ARTEMEV kostia_artemiev@mail.ru
28 Army Street 16/1, flat 69

Astrakhan, Astrakhan 414056
RU
+7-851-2-546183 Fax:


------------

__________________________________________________________________
[13-APR-2006][23:32]
Tracing route to 66.160.175.237

1 ****** ****** ****** Request Timed Out

6 14ms 17ms 11ms [195.8.10.37] lis1-br1-gi-6-2.cprm.net
7 14ms 15ms 11ms [195.8.0.173] lis2-cr1-gi-9-0.cprm.net
8 82ms 50ms 48ms [195.8.0.222] lon1-cr1-po-2-0.cprm.net
9 70ms 81ms 67ms [195.66.224.21] gsr12012.lon.he.net
10 130ms 143ms 135ms [216.218.200.101] pos4-1.gsr12416.nyc.he.net
11 205ms 208ms 205ms [216.218.254.153] pos7-0.gsr12012.sjc.he.net
12 336ms 210ms 227ms [64.71.128.182] pos1-2.gsr12416.fmt.he.net
13 220ms 228ms 208ms [66.160.175.237]

66.160.175.237 ist 13 Hops entfernt
Trace Complete



__________________________________________________________________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 01:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#18 Hallo,Sabina
Mein Rechner ist jetzt fuer 90% wieder in ordnung
Spybot s&d fand ein lesezeichen von Webhancer
Und Spyware Doctor von PCTools fand in C:\Windows\System32\Command.pif den Backdoor.legmir.BZ
http://www.pctools.com/mrc/infections/id/Backdoor.LegMir.BZ/
http://www.sophos.com/virusinfo/analyses/trojlegmirbz.html
Habe Killbox benutzt!

Es gibt der Anschein nach ein fehler eim letzten Microsoft update von 15/04
Mein Rechner wurde auch davon betroffen,weil ich ein HP scanner benutze
CPU 100%
Explorer.exe konnte nicht geöffnet werden
Probleme mit MS Office
Am 25/04 soll ein Patch von Microsoft frei gegeben werden
Komisch ist das dieser Problem jetzt plötzlich wieder verschwunden ist;)

http://support.microsoft.com/default.aspx/kb/918165

Es gibt ein Patch bei Kellys-korner
http://groups.google.nl/group/microsoft.public.windows.inetexplorer.ie6.browser/browse_thread/thread/98fd09af10fd69c7/7536a0fcc3c38bf9%237536a0fcc3c38bf9

Die letzte 10% an Problemen sind:
Wenn ich das IE-icon klicke wird ein schnellkupplung angefertigt
__________
MfG Argus
Dieser Beitrag wurde am 23.04.2006 um 01:18 Uhr von Arnold editiert.
Seitenanfang Seitenende
23.04.2006, 15:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19

Zitat

schnellkupplung angefertigt
was ist das ??
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.04.2006, 16:39
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#20 Tja,Weiss ich nicht in Deutsch sehe Anhang
Links das Orginal und in der dritte Reihe die Kopie von IE

Anhang: Desktop2.JPG

__________
MfG Argus
Seitenanfang Seitenende
23.04.2006, 17:30
Member
Avatar Yourhighness

Beiträge: 279
#21 Hallo Arnold,

meinst Du vll eine Verknuepfung ?

lg,

Johannes
__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
23.04.2006, 17:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 soooviele Tulpen ;)
nun, mit der Verknuepfung kann ich nichts anfangen.
Wenn du sie loeschst, wird sie dann wieder neu erstellt ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.04.2006, 16:12
Member
Avatar Yourhighness

Beiträge: 279
#23 Pour Madame Biene!

As you wished my dear!

lg

- wie gesagt, rough copy -

Anhang: test.bat

__________
Yourhighness
Yourhighness' Seite / Mein Blog (Englisch)
Seitenanfang Seitenende
01.05.2006, 00:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 Tag,Sabina
Entschuldige meine späte Reaktion,schlage mich seit wochen durch die Bürokratie in Holland ;)
Und das kostet viel Zeit

Habe das Problem mit den IE-icon lösen können.
Habe via Software und der XP CD IE entfernt und wieder hinzu gefügt
__________
MfG Argus
Seitenanfang Seitenende
17.05.2006, 23:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#25 Fuer Sabina
Test log
Logfile of HijackThis v1.99.1
Scan saved at 23:30:10, on 17-5-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe
C:\Program Files\Comodo\LaunchPad\CLPTray.exe
C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Comodo\common\CAVASpy\cavasm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Comodo\Comodo AntiVirus\Cavaud.exe
C:\Program Files\Comodo\Comodo AntiVirus\cavemsrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\Program Files\data\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Kill CoolWebSearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koppelingen
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Program Files\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [cnfgCav] "C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" " /login"
O4 - HKLM\..\Run: [Comodo Launch Pad Tray] C:\Program Files\Comodo\LaunchPad\CLPTray.exe
O4 - Global Startup: Klox.lnk = C:\Program Files\Stan's Stuff, Inc\Klox\klox.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\cavemlsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://scan.safety.live.com/resource/download/scanner/en-us/wlscbase7617.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O23 - Service: Comodo Anti-Virus and Anti-Spyware Service - Comodo Inc. - C:\Program Files\Comodo\common\CAVASpy\cavasm.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
__________
MfG Argus
Seitenanfang Seitenende
18.05.2006, 13:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Arnold ;)

was soll ich tun ?
saubern ? Logs anfordern ?

oder ist es der Comodo?

O4 - HKLM\..\Run: [cnfgCav] "C:\Program Files\Comodo\Comodo AntiVirus\CMain.exe" " /login"

ist es ein serioeses Tool ???????????????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2006, 15:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#27 Diesen scanner gibt es auch unter den namen Trustix
http://trustix.com/partners/index.html
Habe eScan wieder installiert,weil meine Updates ja bis 2009 laufen ;)
__________
MfG Argus
Seitenanfang Seitenende
18.05.2006, 15:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 ja nun...warum vertreiben die den Scanner unter verschiedenen Bezeichnungen ????
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2006, 16:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#29 Ich werde mal ein par E-mails verschicken,wer weiss ;)
__________
MfG Argus
Seitenanfang Seitenende
19.05.2006, 23:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: