WinFuture-Forum.de: Spyware Vx2 - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Spyware Vx2


#1 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 21:41

Hi,

habe versucht mittels Hijack die Probleme aufzuspüren und gemäß automatischer Auswertung zu fixen. Bislang ohne Erfolg. AdAware meldet 51 Probleme und stürzt dann in der deleting section ab. Auch Spybot war nicht hilfreich. Sehr hartnäckige Sache, weiß jemand Rat?

Vielen Dank.

Logfile of HijackThis v1.98.2
Scan saved at 22:04:52, on 04.04.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GADU-GADU\GG.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\WINDOWS\IEQR32.EXE
C:\WINDOWS\IEQR32.EXE
C:\WINDOWS\SYSTEM\IPBV.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\WINDOWS\IEQR32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\WINDOWS\NETEU32.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\MFCJZ32.EXE
C:\PROGRAMME\HIJACKTHIS_198\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\vbkas.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {B9C9335C-75D2-C593-C131-121D1C8BCC08} - C:\WINDOWS\SYSTEM\NETHL.DLL
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [IPBV.EXE] C:\WINDOWS\SYSTEM\IPBV.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [MFCJZ32.EXE] C:\WINDOWS\MFCJZ32.EXE /s
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAMME\GADU-GADU\GG.EXE" /tray
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PicGrab - {145A5B0F-6C8C-4A85-A0AE-F7B440C2A6D8} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {7712A322-A74A-40FE-904D-E1DF3E461E24} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {7712A322-A74A-40FE-904D-E1DF3E461E24} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.nexgo.de/arcor/
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnote...ad/mnviewer.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.182.113.1...sCamControl.ocx
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefend...bitdefender.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de...edropupload.cab
O16 - DPF: {11F44F56-0B88-41E6-BA33-A86E5E216F1E} (bilder_vobis_de_bilduebertragung) - http://bilder.vobis.de/upload/bilder_vobis...ebertragung.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com...692e7/enter.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefend...can8/oscan8.cab
0

Anzeige



#2 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. April 2005 - 21:44

Hast du im Abgesicherten modus gefixt?

Bei deaktivierter Systemwiederherstellung?

mach das mal, und dann nochmal ein Log Posten, aber dann mit der neuen hijackthis version, denn deine ist veraltet

Dieser Beitrag wurde von Flo01 bearbeitet: 04. April 2005 - 21:58

0

#3 Mitglied ist offline   Strider 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.816
  • Beigetreten: 04. Dezember 03
  • Reputation: 2
  • Wohnort:Luxemburg
  • Interessen:Musik, Hardware, Windows, Informatik im allgemeinen

geschrieben 04. April 2005 - 21:51

Versuche mal, die Einträge im abgesichterten Modus zu löschen. Lass dann auch Ad-Aware und Spybot nochmals scannen, den Virenscanner würde ich auch noch scannen lassen. Du kannst auch versuchen, die Dateien manuell zu löschen, den Pfad kennst du ja dank Hijackthis (auch alles im abgesichtern Modus, versteht sich). Vergiss nicht, die Systemwiederherstellung zu deaktivieren, bevor du dies alles versuchst... Danach kannst du sie wieder aktivieren.

Aber es würde mich ehrlich gesagt stark wundern, wenn du alle Probleme lösen kannst. Dein System ist stark verseucht. Hast du die gepinnten Threads im Sicherheitsforum schon gelesen? Wenn möglich, solltest du die Platte formatieren, Windows neu aufsetzen und die Tipps in den gepinnten Threads befolgen... bleibt dir überlassen, wäre auf jeden Fall sinnvoller.

Edit: bin heute zu lahm wie es scheint :P
Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.

Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
0

#4 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 22:35

HijackThis - Teil 2:

Logfile of HijackThis v1.99.1
Scan saved at 23:32:46, on 04.04.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\SCANSOFT\OMNIPAGESE\OPWARE32.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GADU-GADU\GG.EXE
C:\PROGRAMME\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS_199\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: Class - {B9C9335C-75D2-C593-C131-121D1C8BCC08} - C:\WINDOWS\SYSTEM\NETHL.DLL
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\SYSTEM\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKCU\..\Run: [Gadu-Gadu] "C:\PROGRAMME\GADU-GADU\GG.EXE" /tray
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: PicGrab - {145A5B0F-6C8C-4A85-A0AE-F7B440C2A6D8} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O9 - Extra button: (no name) - {7712A322-A74A-40FE-904D-E1DF3E461E24} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {7712A322-A74A-40FE-904D-E1DF3E461E24} - C:\PROGRAMME\PICGRAB\iestarter.exe (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.nexgo.de/arcor/
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnote...ad/mnviewer.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://212.182.113.1...sCamControl.ocx
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.bitdefend...bitdefender.cab
O16 - DPF: {11F44F56-0B88-41E6-BA33-A86E5E216F1E} (bilder_vobis_de_bilduebertragung) - http://bilder.vobis.de/upload/bilder_vobis...ebertragung.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefend...can8/oscan8.cab
0

#5 Mitglied ist offline   Strider 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.816
  • Beigetreten: 04. Dezember 03
  • Reputation: 2
  • Wohnort:Luxemburg
  • Interessen:Musik, Hardware, Windows, Informatik im allgemeinen

geschrieben 04. April 2005 - 22:41

Sieht schon viel besser aus... ist ok, wobei du dir bewusst sein musst, dass ein sauberer Hijackthis-Log nicht unbedingt heissen will, dass dein System jetzt wieder vollständig sauber ist.

Dieser Beitrag wurde von Strider bearbeitet: 04. April 2005 - 22:42

Gleichermaßen die größte wie auch die am unmöglichsten zu bewerkstelligende Herausforderung ist die, allen Menschen immer und überall gerecht werden zu wollen.

Was bleibt ist die Konzentration darauf, das Maximale an dem zu erreichen, was man sich selbst zum Ziel gesteckt hat.
Maximale Lust. Maximale Schuld. Maximale Möglichkeit.
0

#6 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 22:43

Tja, leider sieht's nur so aus. Die Startseite verändert sich weiter auf about:blank ... und bei jeder Suche in google oder yahoo erscheint ein anderes Suchfenster. Beim Wegklicken gibt's die Meldung: Fehler in gdi 32 oder in kernel32.

:P
0

#7 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. April 2005 - 22:46

Scan dein system mal mit escan im abgesicherten modus

http://www.trojaner-...ker/escan.shtml


und sag uns dann was rausgekommen ist, kann aber ein bischen dauern

wichtig du mußt die optionen scan all files und scan all drives aktivieren

und die anleiting genau lesen
0

#8 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 22:47

Nach Einwahl ins Internet waren die Probleme wieder da, die AdAware im abgesicherten Modus fixte. Systemwiederherstellung war deaktiviert. IPBV.exe und D3KR.exe sind besonders resistent.
0

#9 Mitglied ist offline   Koopatrooper 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.411
  • Beigetreten: 03. Mai 04
  • Reputation: 0

geschrieben 04. April 2005 - 22:49

Zitat

Die Startseite verändert sich weiter auf about:blank

Meinst du nicht eher, dass die Startseite von about:blank in irgendwelche Websiten verändert wird? :P

Falls ja, lass den CWShredder drüberlaufen, der zerstört alle Dateien des CoolWebSearch Browser-Hijackers, der auf ungewollte Websites weiterleitet.
0

#10 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 22:51

Nein, es wird von google in blank verändert. CWShredder hat nichts erkannt, kenne das Problem von früher, aber dass sich bei jedem Aufruf einer Suchmaschine gezielt ein "Zerstörer" öffnet, ist doch eher neu :P
0

#11 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. April 2005 - 22:53

Zitat (Flo01: 04.04.2005, 23:46)

Scan dein system mal mit escan im abgesicherten modus

http://www.trojaner-...ker/escan.shtml
und sag uns dann was rausgekommen ist, kann aber ein bischen dauern

wichtig du mußt die optionen scan all files und scan all drives aktivieren

und die anleiting genau lesen
<{POST_SNAPBACK}>


mach das doch mal, dann sehen wir weiter

Dieser Beitrag wurde von Flo01 bearbeitet: 04. April 2005 - 22:53

0

#12 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 04. April 2005 - 23:33

Resultat:

Resultat:

File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "se Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ACSSUN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\PTSNOOP.EXE tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.
File C:\WINDOWS\fnux.exe infected by "Trojan-Clicker.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oobhgx.txt infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fzegqd.txt infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\Simpsons.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\SYSTEM\wsee.exe infected by "not-a-virus:AdWare.PurityScan.w" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\mognj.dll infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\SH6B8T6B\our[1].htm infected by "Exploit.HTML.IframeBof" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\K1QJ0X2B\counter[1].gif infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\K1QJ0X2B\archive[1].jar infected by "Trojan.Java.ClassLoader.z" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\JLZ2RYDW\activ-x[1].htm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ACSSUN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\PTSNOOP.EXE tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.
File C:\WINDOWS\fnux.exe infected by "Trojan-Clicker.Win32.VB.ca" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\oobhgx.txt infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\fzegqd.txt infected by "not-a-virus:AdWare.SearchPage" Virus. Action Taken: No Action Taken.
0

#13 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. April 2005 - 23:59

Der wurde unter anderem gefunden

Zitat

Type:  Trojan
Also Known as:  Trojan Clicker TrojanClicker
SG Index:  6 [Explain]
Official Description:  Trojan: aka Trojan Horse: A Trojan is a software program that enables an attacker to get nearly complete control over an infected PC. Frequently used by as a tool by malicious hackers. When this program executes, the program performs a specific set of actions, usually working toward the goal of allowing the trojan to survive on a system and open up a backdoor.




dein system ist kompromittiert

Was ist Malware?

du solltest es neu aufsetzen

hier ne anleitung

Wie Installiere Ich Windows Xp Richtig
und das beachten

Windows Sicherer Machen

Warum Ist Eine Pfw Schlecht
0

#14 Mitglied ist offline   southpaw 

  • Gruppe: aktive Mitglieder
  • Beiträge: 93
  • Beigetreten: 14. November 03
  • Reputation: 0

geschrieben 05. April 2005 - 12:39

... man kann alle feindlichen Programme/Prozesse im abgesicherten Modus eliminieren und erhält beim Neustart ein scheinbar gesäubertes System. Sobald dann die Internetverbindung aufgebaut wird, zeigen sich die alten Probleme - obwohl jetzt nichts Verdächtiges mehr in den lfd. Anwendungen auftaucht, ebenso nicht im Autostart. Dafür unter Windows/System: apib.exe.
0

#15 _moep_

  • Gruppe: Gäste

geschrieben 05. April 2005 - 12:54

@southpaw

Zitat

... man kann alle feindlichen Programme/Prozesse im abgesicherten Modus eliminieren

Nein.(Punkt)
Alles was bekannt ist vllt, aber nach solchen einträgen hilft das einfache löschen der Malware nicht mehr.

Zitat

und erhält beim Neustart ein scheinbar gesäubertes System.


Ja und ein auf jeden Fall nicht mehr vertrauenswertes System.

Zitat

Sobald dann die Internetverbindung aufgebaut wird, zeigen sich die alten Probleme

Was schließen wir daraus? Es ist noch Malware auf dem System und diese ist nicht durch einfaches entfernen vom System zu bekommen.
Schlussfolgerung:

Du solltest mal formatieren und das befolgen oder zumindestens lesen was Flo01 geschrieben hat. Auch wenn Hijackthis nichts mehr findet heißt das nicht das da nichts mehr ist.

Dieser Beitrag wurde von moep bearbeitet: 05. April 2005 - 13:00

0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0