|
Plagegeister aller Art und deren Bekämpfung: Toolbar/TBPSWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
26.11.2004, 18:07 | #1 |
| Toolbar/TBPS Ich hab nach dem eintrag schon was gesucht aber leider nixx gefunden...falls es den post schon geben sollte entschuldige ich mich für den doppelpost...ich bin selbst nich so der computercrack daher kanns sein das euch das problem was lächerlich vorkommt aber naja...meine schwester hat sich das neueste ICQ runtergeladen... sie hat dann immer brav ja gesagt, ob zusätzliche sachen installiert werden sollen....jetzt hat sie zich searchbars und anderes zeugs drauf, dass ich zu nixx zuordnen kann...auf jedenfall ist der PC jetzt viel langsamer als vorher und ich hab echt keine ahnung was ich machen soll...wär nett wenn mir jemand helfen könnte...MFG im vorraus |
26.11.2004, 18:10 | #2 |
| Toolbar/TBPS Sei so gut und poste ein HiJackThis Logfile rein!
__________________cacatoa
__________________ |
26.11.2004, 18:10 | #3 |
| Toolbar/TBPS Poste mal ein HijackThis Logfile -> http://filepony.de/download-hijackthis/
__________________ |
26.11.2004, 18:17 | #4 |
| Toolbar/TBPS sry...mach das zum ersten mal... C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\ssoftsrv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SMSS.exe C:\Programme\WeatherCast\Weather.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\TuneUp Utilities 2004\Integrator.exe C:\Programme\Toolbar\TBPS.exe C:\PROGRA~1\Toolbar\PIB.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\TuneUp Utilities 2004\StartUpManager.exe C:\Dokumente und Einstellungen\Lehrmann\Desktop\Asi\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll O2 - BHO: CSBHO Class - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe O4 - HKCU\..\Run: [WeatherCast] "C:\Programme\WeatherCast\Weather.exe" /q O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra button: Voiceglo directory - {C9B8ABB6-1CC3-4957-9CA3-053036B2EE3A} - C:\Dokumente und Einstellungen\All Users\Desktop\Glophone.lnk O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O10 - Hijacked Internet access by WebHancer O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at0_x.cab O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://defender.veloz.com/pub/download/scandl_cnry.cab O16 - DPF: {3B7904C4-BF43-4782-B5F5-827E8DFEA1E2} (VideoDate Element) - http://www.dating.de/VideoDate_Project.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/new/bridge.cab O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10...o.cab32846.cab O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.comp...io5_3_16_0.cab O16 - DPF: {F76DF680-EC17-4272-B1C7-CDB2641FA20B} (KB836528 Object) - http://microsoft.com/security/controls/DoomChk.CAB O17 - HKLM\System\CCS\Services\Tcpip\..\{6D43359B-8416-40A5-8617-6E120964EB70}: NameServer = 194.25.2.129 O18 - Protocol: tpro - {FF76A5DA-6158-4439-99FF-EDC1B3FE100C} - C:\Programme\Toolbar\toolbar.dll |
26.11.2004, 18:25 | #5 |
| Toolbar/TBPS Sorry, bitte das ganze Logfile mit der Kopfzeile
__________________ Der Mensch sollte eine Hundeseele haben |
26.11.2004, 18:32 | #6 |
| Toolbar/TBPS sry...hier ist es Logfile of HijackThis v1.98.2 Scan saved at 18:26:59, on 26.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) |
26.11.2004, 18:41 | #7 |
| Toolbar/TBPS Hallo, schlechte Nachrichte: Auf den ersten Blick hast Du den da drauf. Ein backdoor-Trojaner, mit dem nicht zu spassen ist. Eigentlich solltest Du Dein System neu aufsetzen. Aber ich würde gerne noch einen der Kollegen hören. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
26.11.2004, 18:49 | #8 |
| Toolbar/TBPS nunja, da wir nen server zwischen sitzen haben, meinte ein kollege von mir, dass der trojaner nich so viel schaden anrichten kann....wie darf ich denn das systemaufsetzen interpretieren?? soll ich XP neu installieren?? das würde ich ungern machen, da meine mutter auch diesen PC nutzt und da daten drauf sind die sie braucht...könnt ihr mir vielleicht auch noch sagen, wie ich die ganzen toolbars loswerde, wie z.b. tbps-toolbar oder die icqtoolbar...die wollen sich nich löschen lassen Geändert von TripleJay (26.11.2004 um 19:06 Uhr) |
26.11.2004, 19:19 | #9 |
| Toolbar/TBPS Hi, TripleJay, bleib noch 5 Minuten dran.
__________________ Der Mensch sollte eine Hundeseele haben |
26.11.2004, 19:39 | #10 |
| Toolbar/TBPS Hallo, Du machst jetzt folgendes: Du mußt Dein System updaten, SP 2 gibt es schon lange und ebenfalls neue Sicherheitspatches für den IE. Dann lädtst Du dir Spybot S& D 1.3 runter, machst ein update und läßt es laufen. Dann runterladen: LSPFix . Das brauchst du, falls Du nach den ganzen Arbeiten nicht mehr ins Internet kommst. Dann mußt du damit Deine winsocks reparieren. Das heißt laufen lassen und alle Einträge, die von Webhancer drinstehen nach rechts ziehen und auf "remove" clicken. Dann clearprog 1.4.0 final runterladen und laufen lassen, d.h. auf "alles löschen" clicken, dann auf beenden. Damit sind alle temp-files und I-Net-Spuren weg. Dann im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendes mit HijackThis fixen (nach dem scan ein Häkchen bei den folgenden Punkten machen und auf "fix checked" clicken) C:\WINDOWS\SMSS.exe C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe C:\Programme\Toolbar\TBPS.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.websearch.com/ie.aspx?tb_id=50193 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.websearch.com/ie.aspx?tb_id=50193 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = res://C:\PROGRA~1\Toolbar\toolbar.dll/sa R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - (no file) O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\PROGRA~1\GEMEIN~1\WinTools\WToolsB.dll O2 - BHO: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - C:\Programme\Toolbar\toolbar.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program Files\webHancer\programs\whiehlpr.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll O2 - BHO: CSBHO Class - {D14D6793-9B65-11D3-80B6-00500487BDBA} - C:\PROGRA~1\Comet\Bin\csbho.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &Search Toolbar - {339BB23F-A864-48C0-A59F-29EA915965EC} - C:\Programme\Toolbar\toolbar.dll O4 - HKLM\..\Run: [WinTools] C:\PROGRA~1\GEMEIN~1\WinTools\WToolsA.exe O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing) O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.219.181.7/cax.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/new/bridge.cab Lösche die folgenden Dateien manuell: C:\WINDOWS\SMSS.exe C:\Programme\Gemeinsame Dateien\WinTools\WSup.exe C:\Programme\Gemeinsame Dateien\WinTools\WToolsA.exe C:\Programme\Toolbar\TBPS.exe C:\Programme\Toolbar\toolbar.dll C:\WINDOWS\bi.dll C:\WINDOWS\System32\nvms.dll C:\Program Files\webHancer\programs\whiehlpr.dll C:\WINDOWS\System32\mscb.dll C:\WINDOWS\System32\apuc.dll C:\WINDOWS\2_0_1browserhelper2.dll C:\WINDOWS\System32\msbe.dll Dann neu booten und Systemwiederherstellung aktivieren. Dann neues Logfile posten. so, bis dann
__________________ Der Mensch sollte eine Hundeseele haben |
26.11.2004, 19:44 | #11 |
| Toolbar/TBPS danke....wird nen moment dauern bis ich das alles gemacht hab... |
26.11.2004, 19:46 | #12 |
| Toolbar/TBPS Ja, ich seh dich vermutlich erst morgen früh wieder...
__________________ Der Mensch sollte eine Hundeseele haben |
26.11.2004, 23:28 | #13 |
| Toolbar/TBPS Im Zweifel mache einen Scan mit Escan: http://www.trojaner-info.de//hijacker/escan.shtml Befolge bitte die dort gegebene Anweisung aufs Wort. Poste uns bitte danach das Ergebnis |
27.11.2004, 13:14 | #14 |
| Toolbar/TBPS Guten Tag TripleJay! na, wie weit bist du? Den Rat von cronos häötte ich Dir als nächstes geschrieben. Mach mal ruhig gleich mit und dann schaun wir weiter. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
27.11.2004, 13:21 | #15 |
| Toolbar/TBPS war gestern zu müde um noch viel zu machen...hab mit deiner anleitung erst heute wirklich begonnen...soll ich denn alle programme, die mir spybot anzeigt löschen?? |
Themen zu Toolbar/TBPS |
ahnung, anderes, compu, eintrag, gefunde, gesuch, gesucht, helfen, icq, installier, installiert, keine ahnung, langsamer, lächerlich, neues, neueste, problem, sache, sachen, zuordnen, zusätzliche |