Problem: Malware, Trojaner oder was? |
||
---|---|---|
#0
| ||
19.11.2003, 15:30
...neu hier
Beiträge: 5 |
||
|
||
19.11.2003, 21:01
Moderator
Beiträge: 7805 |
#2
Ûnd schon kommt meinderzeitiges Lieblingsprogramm zum Einsatz!
Poste mal ein Hijackthis log. Da kamm man dann mehr sehen: http://mjc1.com/mirror/hjt/ dort die Datei herunterladen, entpacken, die exe starten, scan druecken, save log druecken, danach den Inhalt des Aufpopenden Editors in eine Antwrt hineinkopieren. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 15:42
...neu hier
Themenstarter Beiträge: 5 |
#3
hier das log:
Logfile of HijackThis v1.97.7 Scan saved at 15:39:56, on 20.11.2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\Programme\Sicherheit\AV\AVGUARD.EXE E:\Programme\Sicherheit\AV\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE E:\Programme\Sicherheit\AV\AVGNT.EXE C:\WINNT\svchost.exe C:\WINNT\System32\svchosts.exe C:\WINNT\System32\svchostc.exe C:\WINNT\System32\rundll32.exe C:\WINNT\System32\wuauclt.exe C:\Programme\Object Desktop\WindowBlinds\wbload.exe E:\Internet\Crazy Browser\Crazy Browser.exe E:\Trillian\trillian.exe C:\Dokumente und Einstellungen\Chriz1\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://out.true-counter.com/b/?344012 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://out.true-counter.com/c/?344012 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?344012 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwlabs.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?344012 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?344012 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?344012 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?344012 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?344012 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?344012 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?344012 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?344012 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hwlabs.de/ R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?344012 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?344012 (obfuscated) F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINNT\System32\DReplace.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\Sicherheit\AV\AVGNT.EXE /min O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\Internet\ICQ\Icq.exe -trayboot O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa1207206/netzip/RdxIE601_de.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) (HKLM) |
|
|
||
20.11.2003, 16:20
Moderator
Beiträge: 7805 |
#4
Lasse folgendes einmal von Hijackthis "fix"en.
O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) (HKLM) O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa1207206/netzip/RdxIE601_de.cab O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O4 - HKCU\..\RunOnce: [ICQ] E:\Programme\Internet\ICQ\Icq.exe -trayboot O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINNT\System32\DReplace.dll und dann noch den ganzen Krempel unter R0 und R1, dann neu starten und hier ein neues Log posten. Nicht vergessen die svchost im Verzeichniss c:\winnt zu loeschen. Aber bitte [b]nur da![/] BTW: Bitte hijackthis in ein extraVerzeichniss packen, damit du Aenderungen wieder rueckgaengig machen kannst. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 16:53
Moderator
Beiträge: 7805 |
#5
Folgende Dateien bitte im abgesicherten Modus loeschen.
C:\WINNT\System32\svchosts.exe C:\WINNT\System32\svchostc.exe und du solltest dein Windows updaten! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 17:43
Member
Beiträge: 293 |
#6
wo wir gerade schon mal dabei sind...
mein rechner macht ebenfalls seit einigen tagen stress. hängt ohne jeglichen "offensichtlichen" grund und fährt manchmal von alleine runter. hab mir das programm auch mal runtergeladen,kann aber mit der log nicht wirklich viel anfangen. vielleicht könntet ihr da auch mal drüber gucken. Zitat Logfile of HijackThis v1.97.7 __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
20.11.2003, 18:02
Moderator
Beiträge: 7805 |
#7
Schlecht zu sagen, viel sehen kann ich da auch nicht. Naja, bischen viel Norton fuer meine Verhaeltnisse!
Vieleicht Hardwareprobleme? Defekter Luefter oder aehnliches? Den Relay SMTP nutzt du? BTW: Auch dir wuerde ein Windowsupdate via www.windowsupdate.com nicht schaden. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 19:19
...neu hier
Themenstarter Beiträge: 5 |
#8
Also ich hab die nun gelöscht. Nur hab ich diesen Cookie und Favoritenlöscher noch immer!
|
|
|
||
20.11.2003, 19:19
Member
Beiträge: 293 |
#9
hab eben erst ein update gemacht,aber bevor ich den test durchlaufen gelassen habe.
hab alles installiert außer service pack 4,weil mein rechner absolut abkackt wenn ich das installier. darum kommt das bei mir nicht mehr auffen rechner... bissel viel norton? ist einfach nur ganz normal Norton AntiVirus. Oder kann ich davon irgendwas beenden was ich nicht wirklich brauche? den Relay SMTP Server hab ich nur eben mal ausprobiert,weil man mir den empfohlen hatte.find den eigentlich ziemlich praktisch. __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
20.11.2003, 19:41
Moderator
Beiträge: 7805 |
#10
@Tankdeckel
Poste mal ein aktuelles Log. @disc-q Das mit Norton war mehr ironisch gemeint, denn ich(persoenlich) mag Norton nicht besonders. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 19:46
Member
Beiträge: 3306 |
#11
@disc-q:
Dein Rechner macht was genau wenn du SP 4 installierst? Mach dazu am besten mal einen neuen Thread auf, ohne fehlt dir so einiges an Patches. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 20.11.2003 um 19:48 Uhr von asdrubael editiert.
|
|
|
||
20.11.2003, 20:00
...neu hier
Themenstarter Beiträge: 5 |
#12
da:Logfile of HijackThis v1.97.7
Scan saved at 19:57:11, on 20.11.2003 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\Programme\Sicherheit\AV\AVGUARD.EXE E:\Programme\Sicherheit\AV\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\GEARSEC.EXE C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE E:\Programme\Sicherheit\AV\AVGNT.EXE C:\WINNT\svchost.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINNT\System32\rundll32.exe C:\WINNT\System32\wuauclt.exe E:\Trillian\trillian.exe E:\Internet\Crazy Browser\Crazy Browser.exe E:\Internet\SETI@home\SETI@home.exe C:\Programme\Outlook Express\msimn.exe C:\WINNT\System32\svchosts.exe C:\Dokumente und Einstellungen\Chriz1\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hwlabs.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.hwlabs.de/ F2 - REG:system.ini: UserInit=C:\WINNT\System32\userinit.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINNT\System32\DReplace.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\Sicherheit\AV\AVGNT.EXE /min O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa1207206/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37945.412962963 O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) (HKLM) das svchosts kommt immer wieder. Egal wie oft ich das lösche! |
|
|
||
20.11.2003, 20:20
Moderator
Beiträge: 7805 |
#13
Du musst noch folgende Dateien loeschen( im abgesicherten Modus!)
C:\WINNT\svchost.exe C:\WINNT\System32\svchosts.exe und dann gleich noch im abgesicherten Modus Hijackthis starten und das "fix"en: O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) O19 - User stylesheet: C:\WINNT\Web\oslogo.bmp (file missing) (HKLM) O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/07c2bdb282ffa1207206/netzip/RdxIE601_de.cab O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O4 - HKLM\..\Run: [Online Service] C:\WINNT\svchost.exe O2 - BHO: HTML Source Editor - {086AE192-23A6-48D6-96EC-715F53797E85} - C:\WINNT\System32\DReplace.dll __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.11.2003, 21:42
Member
Beiträge: 293 |
#14
Zitat asdrubael postete sobald ich SP 4 installiere kann ich den rechner vergessen. Hängt nur noch alles und der stürzt zwischen durch ab und so....ziemlich extrem sogar. habs 3 mal versucht und hab jedesmal keine 2 stunden später den rechner wieder platt gemacht,weil deinstallieren nicht gereicht hat. Zitat asdrubael postete ??? wie gesagt,ich hab sonst ALLE patches und updates die es gibt,außer dem SP4. Ist denn sonst alles mit dem auszug korrekt oder ist da auch noch was anderes? __________ Wir leben in einer kranken welt,aber ich bin stolz,dass ich dazu gehöre! |
|
|
||
20.11.2003, 23:45
...neu hier
Themenstarter Beiträge: 5 |
#15
hmm. nu kann ich nich mehr kopiern und mein drag n drop is auch aus, ICH HASSE DEN VIRUS !!
Hat wer nen guten Remover da? Meine funzen, komischerweise, alle nich. Aber der vorherige is weg! |
|
|
||
Hier man nen paa Daten:
OS: Win 2000 prof.
geänderte Startseite: http://sex.free4porno.de/search2.html/
dann erstellt der auf dem Desktop: Porn Google und Search Enigen Icons. Die sind wie gesagt alle nach nem Reboot wieder da.
Die Registry habe ich mehrmals mir RegCleander gesäubert. Ich komm ich weiter. Im Forum hab ich leider nichts gefunden was mir half.
Wäre sehr dankbar wenn das Biest bald mal weg ist!!