IE ist mehrmals im Taskmanager |
||
---|---|---|
#0
| ||
18.12.2007, 10:33
...neu hier
Beiträge: 3 |
||
|
||
18.12.2007, 12:39
Moderator
Beiträge: 7805 |
#2
Das sieht stark nach einem Trojan.Banker aus:
O2 - BHO: (no name) - {D8D71E79-EE7F-452E-9418-C2CD14CE68E7} - C:\WINDOWS\shwol.dll Teste die Datei bitte bei Virustotal sollte das stimmen, dann REchner neu aufsetzen und alle Passworte aendern. Achte darauf, das du dann zumindest das SP2 und ein AV-Programm installierst, bevor du das erste mal online gehst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
18.12.2007, 16:36
...neu hier
Themenstarter Beiträge: 3 |
#3
Gibt es da keine andere lösung? Wie erkenne ich ob es bei Virustotal eine gute oder infizierte datei ist? Hier ist das ergebnis
Datei shwol.dll empfangen 2007.12.18 16:32:25 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 11/32 (34.38%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: ___. Geschätzte Startzeit is zwischen ___ und ___ . Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.12.19.10 2007.12.18 - AntiVir 7.6.0.45 2007.12.18 HEUR/Malware Authentium 4.93.8 2007.12.18 - Avast 4.7.1098.0 2007.12.17 - AVG 7.5.0.503 2007.12.17 Proxy.VMH BitDefender 7.2 2007.12.18 Generic.Malware.Fdld.3BC45C19 CAT-QuickHeal 9.00 2007.12.17 - ClamAV 0.91.2 2007.12.18 - DrWeb 4.44.0.09170 2007.12.18 DLOADER.Trojan eSafe 7.0.15.0 2007.12.17 - eTrust-Vet 31.3.5385 2007.12.18 - Ewido 4.0 2007.12.18 - FileAdvisor 1 2007.12.18 - Fortinet 3.14.0.0 2007.12.18 - F-Prot 4.4.2.54 2007.12.18 - F-Secure 6.70.13030.0 2007.12.18 W32/Horst.gen33 Ikarus T3.1.1.15 2007.12.18 Win32.SuspectCrc Kaspersky 7.0.0.125 2007.12.18 - McAfee 5187 2007.12.17 - Microsoft 1.3109 2007.12.18 - NOD32v2 2730 2007.12.18 - Norman 5.80.02 2007.12.17 W32/Horst.gen33 Panda 9.0.0.4 2007.12.18 Trj/Bancos.RI Prevx1 V2 2007.12.18 Generic.Malware Rising 20.23.12.00 2007.12.18 - Sophos 4.24.0 2007.12.18 Mal/Emogen-G Sunbelt 2.2.907.0 2007.12.18 - Symantec 10 2007.12.18 - TheHacker 6.2.9.162 2007.12.17 - VBA32 3.12.2.5 2007.12.17 - VirusBuster 4.3.26:9 2007.12.17 - Webwasher-Gateway 6.6.2 2007.12.18 Win32.NewMalware.HM!27136!3 weitere Informationen File size: 27136 bytes MD5: df2ba3889373d87921f254f77d1f5105 SHA1: 0665c3c7b4b69d2575aa7ef3aa611c086af8494c PEiD: - packers: UPX packers: UPX packers: PE_Patch.UPX, UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D8FFB510002966BF6AAF00A1506E2000ED693C0E |
|
|
||
18.12.2007, 17:13
Moderator
Beiträge: 7805 |
#4
Trj/Bancos.RI bedeutet halt, das dieser Trojaner Passworte und aehnliches abfaengt und ausspioniert. Loesche bitte diese Datei, oder hake den entsprechenden O2 Eintrag an und druecke in Hijackthis fix checked. Beachte, das der Internetexplorer dabei geschlossen sein muss.
Erstelle bitte noch ein Combofix report: http://board.protecus.de/t23187.htm __________ MfG Ralf SEO-Spam Hunter |
|
|
||
19.12.2007, 12:12
...neu hier
Themenstarter Beiträge: 3 |
#5
Hallo also ich habe formatiert und alle pw geändert war mir sonst zu unsicher. Und vielen dank für die schnelle Hilfe. MFG
|
|
|
||
19.12.2007, 12:24
Moderator
Beiträge: 7805 |
#6
Super! ich hoffe, das du nun alle Updates fuer Windows via www.windowsupdate.com installiert hast?
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Hier meine Hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:30:52, on 18.12.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
D:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4D91-8333-CF10577473F7} - C:\Programme\Google\googletoolbar1.dll
O2 - BHO: (no name) - {D8D71E79-EE7F-452E-9418-C2CD14CE68E7} - C:\WINDOWS\shwol.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
--
End of file - 4182 bytes
Danke schon mal im vorraus