WinFuture-Forum.de: Spy/ad Ware - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 2 Seiten +
  • 1
  • 2

Spy/ad Ware Hilfe!! Muss ganz schnell weg


#1 Mitglied ist offline   intoxication 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.763
  • Beigetreten: 26. März 05
  • Reputation: 3
  • Geschlecht:Männlich

geschrieben 01. Juni 2005 - 20:14

Hallo,
mein kleiner Cousin war an meinem Vater seinem 2. PC(lass ihn genau wegen solchen dingen nicht rein). So dieser hat sich dann eine Tauschbörse installiert und wollte sich cheatz für ein spiel runterziehen.
jetzt komt all 10min ein internet pop up mit pronoseiten oder abnehmungspillen.
auf dem Desktop befinden sich 20 icons über black jack, cigarettes und p*rno seiten. diese sind auf dem desktop nicht weglöschbar. über den explorer schon, doch tauchen diese bei dem nexten pop up wieder auf. der pc hat bis eben noch den internetexplorer genutztt. auf diesem ist jetzt als startseite eine casinopage. diese bekomme ich auch nicht weg. ich speichere, trotzdem bleibt diese.
wie kann ich vorgehen. wenn der das sieht, gibts ein paar fragen zu klären. muss zimmlich schnell gehen, da der pc ab morgen wieder gebraucht wird(firmenpc).
edit: achso in der systray ist auch noch ein symbol, rot mit weißem x drin. lässt sich aber nich ankreuzen. im taskmanager(strg+alt+entf) sind aber keine weiteren programme hinzugekommen. lässt sich also noch nich mal manuell rausschmeißen.

windows neuinstallation ausgeschlossen

Dieser Beitrag wurde von pjaeger´05 bearbeitet: 01. Juni 2005 - 20:16

seit 20.08 nicht mehr so aktiv
.:| Intel Core 2 Duo E6300 @ 3GHz | Asus P5B-E P965/ICH8R | Mdt 3GB Dual Pc2-6400 | Palit 9600gt 512MB |:.

Eingefügtes Bild
Eingefügtes Bild
0

Anzeige



#2 Mitglied ist offline   G.I.Joe 

  • Gruppe: aktive Mitglieder
  • Beiträge: 978
  • Beigetreten: 19. September 04
  • Reputation: 0

geschrieben 01. Juni 2005 - 20:18

Erst mal bitte ein HijackThis-Log...
Eingefügtes Bild Eingefügtes Bild
0

#3 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.713
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 01. Juni 2005 - 20:21

verstehe ich das richtig, dass der kleine mann sich einfach so als admin einloggen kann? wenn ja, dann selbst schuld. in meiner firma hätte ich dresche verteilt.

ansonsten: Was ist Malware?
Admin akbar
0

#4 Mitglied ist offline   sylenza 

  • Gruppe: aktive Mitglieder
  • Beiträge: 258
  • Beigetreten: 13. April 05
  • Reputation: 0

geschrieben 01. Juni 2005 - 20:22

1) Spybot (ist ganz frisch :veryangry: )
2) Ad-Aware 1.06 (ist auch ganz neu)

Beide Programme installieren & arbeiten lassen. Wenn dann noch was da ist, nochmal hier posten.

Viel Glück...
e.
0

#5 Mitglied ist offline   knooot 

  • Gruppe: Mitglieder
  • Beiträge: 14
  • Beigetreten: 01. Juni 05
  • Reputation: 0
  • Wohnort:Detmold

geschrieben 01. Juni 2005 - 20:22

Hi pjaeger´05,
Probier doch mal dies Tool hier !!! Müsste funzen hat bei mir auch geklappt...
http://www.freeware.de/software/Programm_e...uite_14219.html[B]

Dieser Beitrag wurde von knooot bearbeitet: 01. Juni 2005 - 20:23

0

#6 Mitglied ist offline   König Chris 

  • Gruppe: aktive Mitglieder
  • Beiträge: 379
  • Beigetreten: 18. August 03
  • Reputation: 0
  • Wohnort:Hemer
  • Interessen:Filme,Schule

geschrieben 01. Juni 2005 - 20:22

Wie kann man sowas auch mit nem Firmenpc machen...*kopfschüttel*
"Shame on...Shame on you" George W. Bush (seines Zeichen "gewählter" US-Präsident)


"Warum seit ihr hier" "Na zum saufen..." Stefan (Abiturient)
0

#7 Mitglied ist offline   intoxication 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.763
  • Beigetreten: 26. März 05
  • Reputation: 3
  • Geschlecht:Männlich

geschrieben 01. Juni 2005 - 20:49

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 21:43:47, on 01.06.2005
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
D:\upt\client.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\ADB Server\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgo...info/ad/ad0128/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\itDDD.exe
O4 - HKCU\..\Run: [USB Hardware32 Monitoringwurm] USBhardware32.exe
O4 - HKCU\..\Run: [Uptime-Project] D:\upt\client.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: E-Mail.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:default.mht!http://www.wearehosters.com/v128/dropper.chm::/dropper.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EP...l_v1-0-3-17.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE



so hat direkt mal die 2 programme installiert: ad aware&sby bot. nichts gebracht.
das is selten das der weg fährt. der pc is ständig wegen faxen in benutz. der hat seinen eigenen. aber auf dem faxpc is nur admin drauf ohne irgenwelche sicherungen
seit 20.08 nicht mehr so aktiv
.:| Intel Core 2 Duo E6300 @ 3GHz | Asus P5B-E P965/ICH8R | Mdt 3GB Dual Pc2-6400 | Palit 9600gt 512MB |:.

Eingefügtes Bild
Eingefügtes Bild
0

#8 Mitglied ist offline   flo 

  • Gruppe: aktive Mitglieder
  • Beiträge: 7.955
  • Beigetreten: 14. November 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 01. Juni 2005 - 20:56

O16 - DPF: {11120607-1001-1111-1000-110199901123} - ms-its:mhtml:file://c:default.mht!http://www.wearehosters.com/v128/dropper.chm:: /dropper.exe     	 


Tja das ist ein IE Expolit und kann ganz schnell dieser hier werden



Zitat

W32/Spybot-CY is a network aware worm with backdoor Trojan functionality.

W32/Spybot-CY consists of a dropper EXE component and a dropped DLL file containing the worm and Trojan components. The dropper EXE injects the DLL into the Explorer process, thereby hiding the worm thread from the user.

When first run, W32/Spybot-CY copies itself into the Windows System folder as winstall.exe and runs this copy. The copy drops the DLL file wininet32.dll into the Windows System folder and injects the DLL into the Explorer process.

In order to run each time Windows is started, W32/Spybot-CY sets the following registry entries:

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
UpdateCheck = winstall.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
UpdateCheck = winstall.exe

W32/Spybot-CY monitors these registry entries and restores them if they are deleted. The worm keeps copies of itself in the Windows user Temporary folder. These files have random names with a TXT extension. The worm uses these files to restore the dropper EXE component if it gets deleted.

W32/Spybot-CY spreads by copying itself to network shares with weak passwords. The worm also scans random IPs for computers with the RPC/DCOM vulnerability and will attempt to spread to these computers using the RPC/DCOM exploit.

W32/Spybot-CY contains an extensive backdoor IRC Trojan component. The Trojan component logs on to predefined IRC servers and joins a predefined channel.

W32/Spybot-CY will then listen for backdoor commands which it will execute on the infected computer. The backdoor can be used to:

    * Copy, delete, run, send and download files on the infected computer.

    * Log keyboard presses to file and to IRC.

    * Steal passwords from the infected computer.

    * Control the infected computer's keyboard.

    * Redirect and spoof internet traffic.

    * Scan for open ports on other computers.

    * Take part in Denial of Service attacks by packet flooding.

    * List and kill processes.

    * Update itself.

    * Set up an HTTP web server to allow browser access to the computer's file system.

    * Send raw IRC commands.

    * Make the keyboard lights flash.

    * Open and close the CD-ROM tray.

    * Make pre-configured changes to the registry.



Das heißt für dich

PC neu aufsetzen, und die sticky threads im Sicherheitsforum lesen, und das system aktuell halten vor allem den IE

Dieser Beitrag wurde von Flo bearbeitet: 01. Juni 2005 - 21:03

0

#9 Mitglied ist offline   sylenza 

  • Gruppe: aktive Mitglieder
  • Beiträge: 258
  • Beigetreten: 13. April 05
  • Reputation: 0

geschrieben 01. Juni 2005 - 21:03

Bevor du Weiters tust, zieh erst mal die Telefonkabel.
0

#10 Mitglied ist offline   DK2000 

  • Gruppe: Administration
  • Beiträge: 19.794
  • Beigetreten: 19. August 04
  • Reputation: 1.434
  • Geschlecht:Männlich
  • Wohnort:Oben auf dem Berg
  • Interessen:Essen, PC, Filme, TV Serien...

geschrieben 01. Juni 2005 - 21:12

Als Unbekannt steht noch folgender drin:

O4 - HKLM\..\Run: [Systems] C:\WINDOWS\System32\itDDD.exe


Google findet dazu nur eine paas Seiten auf Italienisch und die verstehe ich nicht. Da ich das Teil ebenfalls nicht kenne, kann ich Dir auch nicht sagen, was das ist. Würde ich an Deiner Stelle auch mal überprüfen, ob man das einer guten Anwendung zuordnen kann.

Zum W32/Spybot-CY ist hier eine Erklärung auf deutsch. Aber gerade wegen solchen Bots würde ich das System neu installieren, da sich diese Teile zum Teil sehr hartnäckig im System verankern und es unbrauchbar machen. Sicher würde ich mich da nicht mehr fühlen.

Problem an der ganzen Installation ist zudem, das nur Windows XP installiert ist, ohne Servicepacks. Das ganze ist zwar ein Firmen PC, aber das ganze ist ja schon mehr als fahrlässig. Einen Firmen PC (eigentlich jeden internetfähigen PC) sollte man immer besonders absichern, vorallem verhindern, das Unbefugte sich anmelden und irgendwelchen Müll installieren können. Ausserdem besteht jetzt auch noch die Gefahr, das sich von diesem PC aus der Bot munter weiterverbreitet und somit das ganze Firmennetzwerk verseucht.

Dieser Beitrag wurde von DK2000 bearbeitet: 01. Juni 2005 - 21:24

Ich bin kein Toilettenpapier-Hamster.
---
Ich bin ein kleiner, schnickeldischnuckeliger Tiger aus dem Schwarzwald.
Alle haben mich ganz dolle lila lieb.
0

#11 Mitglied ist offline   WinlinMax 

  • Gruppe: aktive Mitglieder
  • Beiträge: 588
  • Beigetreten: 14. März 04
  • Reputation: 3
  • Geschlecht:Männlich

geschrieben 01. Juni 2005 - 21:21

bitte tu allen internet usern, die nicht gut geschützt sind an ihrem pc einengefallen, telefonkabel raus und platten formatieren
Häufigster Fehler ist immer noch der DAU
0

#12 Mitglied ist offline   Systemlord67 

  • Gruppe: aktive Mitglieder
  • Beiträge: 208
  • Beigetreten: 22. Februar 05
  • Reputation: 0
  • Wohnort:127.0.0.1

geschrieben 01. Juni 2005 - 21:23

Zitat (knooot: 01.06.2005, 21:22)

Hi pjaeger´05,
Probier doch mal dies Tool hier !!! Müsste funzen hat bei mir auch geklappt...
http://www.freeware.de/software/Programm_e...uite_14219.html[B]
<{POST_SNAPBACK}>

vergiss das Tool, hat bei mir (zumindest!) immer lediglich das gefunden, was sich eh schon in Quarantäne (vom AV-Programm) befunden hatte...also, delete :P
Ach ja, zum Thema: Bitte halte deine Verwandschaft vom Internet fern.... ;D
Danke!

Dieser Beitrag wurde von Systemlord67 bearbeitet: 01. Juni 2005 - 21:28

0

#13 Mitglied ist offline   intoxication 

  • Gruppe: aktive Mitglieder
  • Beiträge: 5.763
  • Beigetreten: 26. März 05
  • Reputation: 3
  • Geschlecht:Männlich

geschrieben 01. Juni 2005 - 21:28

das is nich euer ernst?
es is nicht möglich die platte zu formatieren. weil dann fällts direkt auf. kan man nich nur die icons löschen, popup teil entfernen. un systry icon?

hilft es was windows überzu installieren?
seit 20.08 nicht mehr so aktiv
.:| Intel Core 2 Duo E6300 @ 3GHz | Asus P5B-E P965/ICH8R | Mdt 3GB Dual Pc2-6400 | Palit 9600gt 512MB |:.

Eingefügtes Bild
Eingefügtes Bild
0

#14 Mitglied ist offline   Elren Luthien 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.981
  • Beigetreten: 20. September 04
  • Reputation: 6
  • Geschlecht:Männlich
  • Wohnort:Zürich/Schweiz

geschrieben 01. Juni 2005 - 21:32

Zitat (pjaeger´05: 01.06.2005, 22:28)

das is nich euer ernst?
es is nicht möglich die platte zu formatieren. weil dann fällts direkt auf. kan man nich nur die icons löschen, popup teil entfernen. un systry icon?
<{POST_SNAPBACK}>

Mit einem Wort: NEIN!

Die Maschine ist hochgradig infiziert, also klär das mit den entsprechenden Leuten ab und machs neu.

Was soll Dir denn schon passieren? :P

Edit: benutz den Eingefügtes Bild-Button.

Dieser Beitrag wurde von Elren Luthien bearbeitet: 01. Juni 2005 - 21:33


So much for dreams we see but never care to know
Your heart makes me feel
Your heart makes me moan
For always and ever, I'll never let go..."

Elrens Blog Elren auf Last.fm Elren bei SysProfile
0

#15 Mitglied ist offline   shiversc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.713
  • Beigetreten: 27. März 03
  • Reputation: 26
  • Geschlecht:Männlich
  • Interessen:IT-Systeme

geschrieben 01. Juni 2005 - 21:36

Zitat

* Copy, delete, run, send and download files on the infected computer.

    * Log keyboard presses to file and to IRC.

    * Steal passwords from the infected computer.

    * Control the infected computer's keyboard.

    * Redirect and spoof internet traffic.

    * Scan for open ports on other computers.

    * Take part in Denial of Service attacks by packet flooding.

    * List and kill processes.

    * Update itself.

    * Set up an HTTP web server to allow browser access to the computer's file system.

    * Send raw IRC commands.

    * Make the keyboard lights flash.

    * Open and close the CD-ROM tray.

    * Make pre-configured changes to the registry.


diese features machen aus jedem herkömmlichen pc einen echten business pc.

im ernst: kabel raus und formatieren vorbereiten.
Admin akbar
0

Thema verteilen:


  • 2 Seiten +
  • 1
  • 2

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0