Verdacht auf TrojanerThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.12.2006, 15:40
Member
Beiträge: 23 |
||
|
||
14.12.2006, 16:00
Ehrenmitglied
Beiträge: 29434 |
#2
einen HEUR/Exploit.HTML - kann man nicht im Log vom HijackThis erkennen.
leere einfach das cache vom Firefox und das Problem sollte geloest sein. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2006, 16:07
Member
Themenstarter Beiträge: 23 |
#3
Hallo Sabina,
vielen Dank für deine Antwort. Was ist mit den Dateien, die beim Scannen von AntiVir nicht geöffnet werden konnten? Ist das Log ansonsten sauber? Mit den besten Grüßen, Berserker |
|
|
||
14.12.2006, 16:16
Ehrenmitglied
Beiträge: 29434 |
#4
sys-Dateien (Treiber) koennen vom Antivirus nicht geoefffnet werden, aber es sind in deinem Fall keine viren
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.12.2006, 16:22
Member
Themenstarter Beiträge: 23 |
||
|
||
11.01.2007, 06:11
Member
Beiträge: 16 |
#6
Zitat dann ist also alles in Ordnung? Puh, vielen lieben Dank!!!Naja das stimmt so nicht! Dein system wurde Kompromitiert. Das soll heissen es ist nicht mehr sicher das alle Dateien in deinem System auch noch die sind die es sein sollten. Oder kennt Antivir alle Dateien?? Nee eben nicht. Sonder nur die schadensroutinen - und eventuelle bekannte veränderungen. Aber wer sagt die das die Datei xy nicht verändert wurde? Mein 2 er Pc fährt gerade mal wieder selbständig herauf und runter obwohl Antivr mir sagt das alles ok ist und im abgesicherten modus auch keine Viren merh findet. Sollte zu denken geben! Ich vertraue da den ganzen Anti Viren programmen nicht mehr. Wenn ma was verseucht wurde ist das viel zu unsicher. Sind ja auch keine Götter aber immerhin soweit ganz gut das man sich vor neuen infektionen grösstenteils schützen kann. Habe das mist teil leider auch auf 2 Rechner gehabt. Zum eine habe ich ständig neue seltsamme dinge auf meinem system feststenn müssen (man kann so ein Ding viele variationen auslösen) Das ging von netzwerk problemem bis zu fehlermeldungen in Programmen über Treiberprobleme (Nvidia Graka). Beim mir waren 2 dateien befallen die zig anderen viren und Trojaner den weg frei gemacht haben. Leider hilft da kein download von Antivir etc. die files kommen meist schon verseucht an! Der Generic.Hijacker hat sich dadurch zusätzlich auf dem system eingeschlichen. Bei mir war es nicht Otto sonder goggle die ständig aufgerufen wurden. Da gibts einige Screen Shoots. EBAY = nicht GOOGle (lööl - endlich wieder nachdem ich wochenlang stress mit der kiste hatte.) Blöderweise gabe es erst recht spät diesn auffälligen fehler! ich vermute das der urspüngliche virus noch irgenwo in Thunderbird herumflatter. Werde jetzt erst mal wieder (schon vor 6 Wochen mal) meine systeme platt machen. Hier mal für die nachfolgende Welt der log von antivir (im abgesicherten MODUS installiert und ausgeführt) Da gibt es noch ein paar dateien die ich sehr merkwürdig finde!!! 4 Hinweise Hab dann abgebrochen und neu im abgbesicherten Modus gestartet. Der log war dann bis auf die Hinweise sauber! Naja die kommen mir auch spanisch vor! Erstellungsdatum der Reportdatei: Donnerstag, 11. Januar 2007 04:52 Es wird nach 569934 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: Administrator Computername: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Versionsinformationen: BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00 AVSCAN.EXE : 7.0.3.2 208936 Bytes 05.12.2006 15:29:57 AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37 LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43 LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59 ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44 ANTIVIR1.VDF : 6.36.1.24 2212864 Bytes 14.11.2006 09:12:08 ANTIVIR2.VDF : 6.36.1.113 221696 Bytes 01.12.2006 09:12:12 ANTIVIR3.VDF : 6.37.0.3 6144 Bytes 01.12.2006 09:12:14 AVEWIN32.DLL : 7.3.0.15 1982976 Bytes 04.12.2006 17:18:38 AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47 AVREP.DLL : 6.37.0.3 983080 Bytes 01.12.2006 09:05:52 AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10 AVPACK32.DLL : 7.2.0.5 368680 Bytes 23.10.2006 15:21:31 AVREG.DLL : 7.0.1.1 30760 Bytes 23.10.2006 10:52:24 NETNT.DLL : Keine Information! RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22 RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Lokale Laufwerke Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp Protokollierung..................: niedrig Primäre Aktion...................: löschen Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: F:, Durchsuche Speicher..............: ein Durchsuche Laufende Programme....: ein Durchsuche Registrierung.........: ein Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR, Erweiterte Sucheinstellungen.....: 0x00007000 Beginn des Suchlaufs: Donnerstag, 11. Januar 2007 04:52 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht Es wurden '12' Prozesse mit '12' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( 13 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\deskuser\Anwendungsdaten\Mozilla\Firefox\Profiles\mfl1h3rn.default\extensions\ {3112ca9c-de6d-4884-a869-9855de68056c}\components\amulet-loader.js [FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '461ab558.qua' verschoben! C:\Dokumente und Einstellungen\deskuser\Anwendungsdaten\Mozilla\Firefox\Profiles\mfl1h3rn.default\extensions\ {3112ca9c-de6d-4884-a869-9855de68056c}\components\gtbComponent.js [FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4607b560.qua' verschoben! Ende des Suchlaufs: Donnerstag, 11. Januar 2007 05:03 Benötigte Zeit: 11:10 min Der Suchlauf wurde abgebrochen! 1314 Verzeichnisse wurden überprüft 32290 Dateien wurden geprüft 2 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 2 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 1 Dateien konnten nicht durchsucht werden 32288 Dateien ohne Befall 7757 Archive wurden durchsucht 1 Warnungen 4 Hinweise ######################## ### Anchtrag wären ich hier so schreibe hat mein antivier schon wieder was gefunden. C:\Programme\Flock\flock\components\flockXmlRpc.js na klasse. So dan werde ich eben das system wirklich Platt machen müssen. Hatte wnigsten gehofft das auf morgen verschieben zu können. Im übrigen habe ich mit flock diesn Text hier (extrem übermüdet) Noch tippen können und da hat antivier nicht eim start gemeckert sonder erst als ich alle Dateien im hintergrund durchsucht habe. Na vieleicht kommt hiermit der ein oder ander schneller als ich auf ein Lösung des Problems. ich geh jetzt schlafen!!!! |
|
|
||
11.01.2007, 10:53
Ehrenmitglied
Beiträge: 29434 |
#7
schnikemike
1. Javascript deaktivieren http://www.werle.com/helps/javascri.htm 2. FirefoxCache leeren * Klicken Sie in der Browserleiste auf "Extras" * In dem Pull-Down Menü ganz unten auf "Einstellungen.." klicken. * In der linken Leiste "Datenschutz" wählen. * Im rechten Bereich dann einfach den Button "Löschen" in der Zeile "Cache" anklicken. 3.. temp und java-Dateien loeschen http://virus-protect.org/CCleaner.html 4. mit diversen anderen Virenscannern( Online) scannen http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.01.2007, 11:38
Member
Beiträge: 16 |
#8
Jap das hatte ich schon.
Bis auf das online scannen. Allerdings lege ich nicht allzuviel Wert drauf meine gesammten Daten über das net zu schicken? Local können die ja nicht geprüft werden. Obwohl das offentsichlich das schon Passiert ist. ########### gRRRRRRRRRRRRRRRRRRRRRRR ########### na hier nochmal eien kleine zusammenfassung für alle begeisterten mit dem selben Problem. http://schnikemike.de/modules.php?name=Forum&topic=171.new#new ############ Naja was solls veklagen kann man ja eh keinen wegen so einem Müll nur viel Geld für Anti Viren Tools ausgeben!! Und hoffen das nicht ein RUSSISCHER programmierer wieder eine Virus screibt und dadurch vielen Anti Viren herstellern gute umsätze verschafft. Viren gehören bekanntlich zum Altagsgeschäft. Leider haben viele meist eh keine Chance ein System wirklich sicher zu schützen. Wie solll das auch gehe! Virenschreiber wissen ja wo sie angreifen können und wo noch kein schutz besteht. Wenn man alle Sicherheitslücken absichern würde gäbs eben kein WEB2 und Windows mehr. (Javascript & Java sowie ausführbaren code der nich zuvor geprüft worden ist - Certifiziert aber auch das lässt sich umgehen) Werde jetzt wohl mal wieder firefox und co in einer sandbox laufen lassen. Damit ist es wenigsten etwas sicherer. Dieser Beitrag wurde am 11.01.2007 um 11:45 Uhr von schnikemike editiert.
|
|
|
||
14.01.2007, 23:28
Member
Themenstarter Beiträge: 23 |
#9
Hallo,
durch diese (etwas seltsam anmutenden) Posts verunsichert, habe ich mein System noch einmal gescannt (mit Symnatec Security, online). Dabei kam dies heraus: Your computer is infected with at least one known virus or Trojan horse. C:\Programme\WhenUSearch\search.dll is infected with Adware.WhenUSearchBar Was ist dies und was kann ich dagegen machen? Mit besten Grüßen, Berserker |
|
|
||
15.01.2007, 13:55
Ehrenmitglied
Beiträge: 29434 |
#10
DerBerserker
Avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein: Zitat Folders to delete:Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** scanne mit counterspy und lasse die reste von der spyware loeschen - mit remove http://virus-protect.org/counterspy.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ich musste kurzzeitig auf den Internet Explorer zurückgreifen, da sich Firefox 2 anscheinend nicht mit meinem Dual Core vertragen hat (bekanntes, aber seltenes Problem). Bevor ich auf die alte Version umgestiegen bin, meldete meine Firewall einen Angriff.
Nun habe ich AntiVir das System scannen lassen (mit den hier auf dem Board empfohlenen Einstellungen), heraus kam das hier:
Zitat
Ich wollte die Dateien, die nicht geöffnet werden konnten mit Jotti Malwarescan überprüfen, heraus kam allerdings nur diese Meldung: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.Hier das Log von Hijack This:
Zitat
Habe ich mir etwas eingefangen??Besten Dank im voraus!