Hilfe
Seite 1 von 1
Neues Thema
AntwortenDufpy.com: Ie-startseite ändert Sich, Firewall +virusscanner Reagieren seltsame attacke, bisher ohne sichtbare negative folgen, aber ...
#1
eddie_f 
geschrieben 20. Oktober 2009 - 01:41
ich schau einen film im tv am rechner, da meldet mir die fritz!box-firewall, daß thunderbird meinen antivirenscanner-update starten will, was ich seltsam finde. im journal der box-wall finde ich seltsame eintrage: die prüfsumme des ie wurde geändert, ie hat plötzlich www.dufpy.com als startseite (eine site, die google zu sein vorgibt), thunderbird startet ie, thunderbird startet java, java verbindet sich mit www.regione.sicilia.it, thunderbird startet den autoupdater meines virenscanners (sophosAV), die entsprechenden meldungen der f-box-fw weisen kryptische schriftzeichen bei dem programm auf, welches auffordert. siehe screenshots! ich erbitte dringend fundierte ratschläge. danke!
Nach oben
#2
REtenderjw
geschrieben 20. Oktober 2009 - 02:12
Hm scheint so als hättest du dir etwas größeres eingefangen.
Bitte lade dir http://free.antivirus.com/hijackthis/
und lass dir eine .txt erstellen (logfile), welche du hier postet bzw auch selber auf http://www.hijackthis.de/ auswerten kannst.
Wobei das nichts heißen mag, da Trojaner meistens eh Fud gecryptet sind und daher eher selten entdeckt werden (falls es einer ist).
Zu der Webseite, ich bin zwar kein Super Spezialist, aber der Quelltext sieht nach eine einfachen Costum Search Seite von google aus also harmlos.
Was auch eine Erklärung wäre, das du ein Programm installiert hast, du schnell alles durchgeklickt hast und dabei so eine nette Zusatzoption ala "Setze meine Startseite zu" übersehen hast.
Also als erstes Hiijack this posten bzw selber auswerten wenn du es kannst
Falls da nichts auffälliges ist würde ich dir noch Malwarebytes' Anti-Malware ans Herz legen mal durchlaufen zu lassen.
http://www.malwarebytes.org/mbam.php
Ich hoffe ich konnte etwas helfen
Bitte lade dir http://free.antivirus.com/hijackthis/
und lass dir eine .txt erstellen (logfile), welche du hier postet bzw auch selber auf http://www.hijackthis.de/ auswerten kannst.
Wobei das nichts heißen mag, da Trojaner meistens eh Fud gecryptet sind und daher eher selten entdeckt werden (falls es einer ist).
Zu der Webseite, ich bin zwar kein Super Spezialist, aber der Quelltext sieht nach eine einfachen Costum Search Seite von google aus also harmlos.
Was auch eine Erklärung wäre, das du ein Programm installiert hast, du schnell alles durchgeklickt hast und dabei so eine nette Zusatzoption ala "Setze meine Startseite zu" übersehen hast.
Also als erstes Hiijack this posten bzw selber auswerten wenn du es kannst
Falls da nichts auffälliges ist würde ich dir noch Malwarebytes' Anti-Malware ans Herz legen mal durchlaufen zu lassen.
http://www.malwarebytes.org/mbam.php
Ich hoffe ich konnte etwas helfen
#3
eddie_f
geschrieben 20. Oktober 2009 - 11:22
danke! das logfile darf ich nicht hochladen, muß es also hier posten, sorry. malwarebytes sucht, das scheint aber eine weile zu dauern, darum erstmal dies. spybot hatte nichts gefunden. ja, der quellcode sieht harmlos aus, nur hat dufpy nichts mit google zu tun. ist das nicht der versuch, tastatureingaben abzugreifen?
was mich mehr irritiert ist eh die geschichte mit den nun dauernd neu kommenden firewall-rückfragen (thunderbird) mit jeweils neuen kryptischen zeichen bei "das programm (zeichen) versucht das programm moz.thunderbird zu starten..." - was passiert da?
also hier erstmal das logfile, rest folgt, danke für deine/eure mühe!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:45, on 20.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
C:\Program Files (x86)\winamp556\Winamp\winamp.exe
C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
C:\Program Files (x86)\autoruns.exe
C:\Program Files (x86)\MailWasher Pro\MailWasher.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Downloads\flashget_installed!\jccatch.dll (file missing)
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Downloads\flashget_installed!\getflash.dll (file missing)
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Program Files (x86)\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Downloads\flashget_installed!\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Downloads\flashget_installed!\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Software Licensing (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8462 bytes
was mich mehr irritiert ist eh die geschichte mit den nun dauernd neu kommenden firewall-rückfragen (thunderbird) mit jeweils neuen kryptischen zeichen bei "das programm (zeichen) versucht das programm moz.thunderbird zu starten..." - was passiert da?
also hier erstmal das logfile, rest folgt, danke für deine/eure mühe!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:00:45, on 20.10.2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal
Running processes:
C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
C:\Program Files (x86)\winamp556\Winamp\winamp.exe
C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
C:\Program Files (x86)\autoruns.exe
C:\Program Files (x86)\MailWasher Pro\MailWasher.exe
C:\Program Files (x86)\Mozilla Thunderbird\thunderbird.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
E:\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: ::1 localhost
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - E:\Downloads\flashget_installed!\jccatch.dll (file missing)
O2 - BHO: Sophos Web Content Scanner - {39EA7695-B3F2-4C44-A4BC-297ADA8FD235} - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SophosBHO.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - E:\Downloads\flashget_installed!\getflash.dll (file missing)
O4 - HKLM\..\Run: [ScreenManager Pro for LCD] C:\Program Files (x86)\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Program Files (x86)\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Program Files (x86)\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Program Files (x86)\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - E:\Downloads\flashget_installed!\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - E:\Downloads\flashget_installed!\jc_link.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Downloads\flashget_installed!\FlashGet.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~2\Sophos\SOPHOS~1\SOPHOS~1.DLL
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: FLEXnet Licensing Service 64 - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService64.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Program Files\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files (x86)\Cyberlink\Shared files\RichVideo.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - C:\Program Files (x86)\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Software Licensing (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - C:\Program Files (x86)\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
--
End of file - 8462 bytes
#4
eddie_f
geschrieben 20. Oktober 2009 - 12:23
nun noch der malwarescanreport:
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2997
Windows 6.0.6002 Service Pack 2
20.10.2009 13:21:53
mbam-log-2009-10-20 (13-20-51).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 447919
Laufzeit: 1 hour(s), 13 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{688B1919-E4BC-478D-9E46-7C68F5DB08A0}\RP260\A0060745.exe (Rogue.Installer) -> No action taken.
Malwarebytes' Anti-Malware 1.41
Datenbank Version: 2997
Windows 6.0.6002 Service Pack 2
20.10.2009 13:21:53
mbam-log-2009-10-20 (13-20-51).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 447919
Laufzeit: 1 hour(s), 13 minute(s), 55 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
D:\System Volume Information\_restore{688B1919-E4BC-478D-9E46-7C68F5DB08A0}\RP260\A0060745.exe (Rogue.Installer) -> No action taken.
#5
yellow
- Gruppe: aktive Mitglieder
- Beiträge: 256
- Beigetreten: 30. Januar 03
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:zu Hause
geschrieben 20. Oktober 2009 - 13:21
Hallo,
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
Greets Yellow
#6
eddie_f
geschrieben 20. Oktober 2009 - 13:25
yellow, bitte, wie mache ich das? und was bedeutet CN? und was liegt nach dem was du schreibst eigentlich vor (bitte auf leichtverständlich!)? und woran erkennst du das? ich danke dir!
Dieser Beitrag wurde von eddie_f bearbeitet: 20. Oktober 2009 - 13:35
#7
REtenderjw
geschrieben 20. Oktober 2009 - 13:53
Das ist ein Eintrag in deiner windows Host Datei, also irgendwas hattest bzw hast du gerade noch auf dem Rechner.
Der eingetragenen Ip kann man entnehmen http://whois.domaint...om/60.12.193.37 da sie aus China kommt und du dorthin weiter geleitet wirst.
abändern kannst du es indem du im windows ordner nach einer datei mit dem namen host(s) suchst und da per editor nach dem eintrag suchst und diesen entfernst.
Dafür gibt es keine Garantie, also am besten backup der Datei anlegen^^ Nur dieser Eintrag manipuliert dein Internet etwas.
Desweiteren bin ich mir nicht sicher ob dein Rechner nicht noch etwas anderes hat, weil einfach so schreibt sich das nicht in die Host Datei, normal um ganz sicher zu gehen wäre eine Neu Installation gut.
Der eingetragenen Ip kann man entnehmen http://whois.domaint...om/60.12.193.37 da sie aus China kommt und du dorthin weiter geleitet wirst.
abändern kannst du es indem du im windows ordner nach einer datei mit dem namen host(s) suchst und da per editor nach dem eintrag suchst und diesen entfernst.
Dafür gibt es keine Garantie, also am besten backup der Datei anlegen^^ Nur dieser Eintrag manipuliert dein Internet etwas.
Desweiteren bin ich mir nicht sicher ob dein Rechner nicht noch etwas anderes hat, weil einfach so schreibt sich das nicht in die Host Datei, normal um ganz sicher zu gehen wäre eine Neu Installation gut.
Dieser Beitrag wurde von REtenderjw bearbeitet: 20. Oktober 2009 - 13:55
#8
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.947
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 20. Oktober 2009 - 13:58
In diesem Fall gibt es nichts sicheres als den Rechner platt zu machen und neu zu installieren. Wer weiß, wo sich der Schädling noch verbreitet hat.
#9
Phoenix0870
- Gruppe: aktive Mitglieder
- Beiträge: 387
- Beigetreten: 27. Januar 08
- Reputation: 0
- Geschlecht:Männlich
- Wohnort:Deutschland
-
Interessen:Hardware+Software News...
Avast Anti-Virus ist ein gutes Programm.
Kann es jedem empfehlen.
geschrieben 20. Oktober 2009 - 14:01
Dem stimme ich auch zu.
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
Hardware+Software News...
#10
REtenderjw
geschrieben 20. Oktober 2009 - 15:28
Zitat (Phoenix0870: 20.10.2009, 15:01)
Dem stimme ich auch zu.
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
Immer diese Chinesen, jetzt versuchen die uns zu ausspionieren.
Mache dein PC neu, dann ist Ruhe.
Ein Programm muss dir das eingebracht haben.
Tipp: www.virustotal.com/de
Dann die Datei, die du zuletzt installiert hast hochladen.
Irgendeine Datei hat bei dir einen Registry Eintrag gemacht.
Virustotal ist auch nicht das gelbe vom ei, wenn du etwas Fud cryptest wird es für ein paar tage zumindestens von keinem gefunden...
Daher mach am besten den Rechner platt
#11 _Niedlicher Zwerg_
geschrieben 20. Oktober 2009 - 17:32
http://support.micro...om/kb/972034/de
Aber platt machen ist sicherer.
Aber platt machen ist sicherer.
Dieser Beitrag wurde von Niedlicher Zwerg bearbeitet: 20. Oktober 2009 - 17:33
#12
eddie_f
geschrieben 20. Oktober 2009 - 21:13
Zitat (yellow: 20.10.2009, 14:21)
Hallo,
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
diese Einträge unbedingt fixen:
O1 - Hosts: 60.12.193.37 auto.search.msn.com
O1 - Hosts: 60.12.193.37 auto.search.msn.es
O1 - Hosts: 60.12.193.37 ie.search.msn.com
diese IP's leiten dich nach CN um
ich hab die ips gelöscht, danach das ms-hotfix laufen lassen, zudem firefox neu installiert. nun geht ff extrem langsam, es fehlt offenbar ein "guter" host-eintrag. was gehört an die nun gelöschte stelle? bitte schnell antworten! danke!
#13
Andi_84
- Gruppe: aktive Mitglieder
- Beiträge: 401
- Beigetreten: 30. November 08
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Bayern
geschrieben 21. Oktober 2009 - 07:38
Zitat (eddie_f: 20.10.2009, 22:13)
...es fehlt offenbar ein "guter" host-eintrag. was gehört an die nun gelöschte stelle?
Normalerweise sollten außer 127.0.0.1 localhost gar keine weiteren Einträge in der hosts Datei vorhanden sein.
Und die 3 Einträge, die bei dir drin standen, waren sicher keine 'guten Einträge'.
Hier mal eine hosts Datei von einem sauberen Rechner mit XP SP 3:
# Copyright (c) 1993-1999 Microsoft Corp. # # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP # für Windows 2000 verwendet wird. # # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen. # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP- # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen # Hostnamen stehen. # Die IP-Adresse und der Hostname müssen durch mindestens ein # Leerzeichen getrennt sein. # # Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 102.54.94.97 rhino.acme.com # Quellserver # 38.25.63.10 x.acme.com # x-Clienthost 127.0.0.1 localhost
Ich würde dir raten, den Rechner komplett 'platt zu machen', d.h. formatieren und Windows + alle Programme neu installieren.
Dann kannst du wirklich sicher sein, dass du den Schädling wirklich los bist.
Viele Grüße,
Анди
Laptop: HP EliteBook 8560p; Core i7-2720QM, 16 GB DDR3 1333, 500 GB HDD, Intel HD Graphics 3000, Win 7 x64 SP1 Build 7601.17514
Internetzugang: T-Home VDSL 50 @ 51392 kbit/s down, 10048 kbit/s up || Router: FritzBox 7360 @ FW 111.05.24
Internetzugang: T-Home VDSL 50 @ 51392 kbit/s down, 10048 kbit/s up || Router: FritzBox 7360 @ FW 111.05.24
#14
eddie_f
geschrieben 21. Oktober 2009 - 16:47
es bleibt bei den seltsamen firewall-meldungen. gibt es keine alternative zum komplett-plattmachen? hab ein sehr komplexes system...
was wären ev konsequenzen, wenn ich das nicht täte? was ist möglicherweise im gange? es gibt bisher keinen unbekannten prozess oder erhöhten traffic ...
was wären ev konsequenzen, wenn ich das nicht täte? was ist möglicherweise im gange? es gibt bisher keinen unbekannten prozess oder erhöhten traffic ...
#15
XiLeeN2004
- Gruppe: aktive Mitglieder
- Beiträge: 584
- Beigetreten: 16. Juni 04
- Reputation: 50
- Geschlecht:Männlich
- Wohnort:Ahrensburg
- Interessen:Aikidō (Godan), Schwimmen, Motorradfahren ('35er Indian Four, noch von meinem Vater), Dampfmodellbau, Kino
geschrieben 21. Oktober 2009 - 17:15
Es gibt keine Konsequenz... Du kannst bereits jetzt sämtliche Daten, Passwörter, Dokumente, etc. als öffentlich betrachten. Für dich bedeutet das, System neu installieren, oder sauberes Backup einspielen, umgehend sämtliche Zugangsdaten ersetzen. Das System ist einfach nicht mehr vertrauenswürdig...
Thema verteilen:
Seite 1 von 1