| |
| |||||||
Log-Analyse und Auswertung: Crazywinnings eingefangen, was jetzt???Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
| |
06.12.2004, 16:53
| #1 |
| |  Crazywinnings eingefangen, was jetzt??? Ich habe mir auf dem Firmenrechner den HiJacker "Crazywinnings" eingefangen. Ich bin jetzt schon den ganzen Tag am suchen und versuchen, diesen wieder loszubekommen aber dies ist mir nur teilweise gelungen. Unter "Vertrauenswürdige Sites" erscheint die Seite "*.frame.crazywinnings.com" immer wieder. Anfangs stand dort auch noch "*.frame.topconverting.com" welche ich aber mit Ad aware von Lavasoft eliminieren konnte. Jetzt weiß ich absolut nicht mehr weiter. Wer kann mir helfen??? PS: Bin ziemlicher Laie wenn es um die Innereien eines PC's geht, daher bitte so einfach wie möglich beschreiben (halt für Dumme). Vielen Dank im Voraus Hille34 |
|
06.12.2004, 17:01
| #2 |
  | Crazywinnings eingefangen, was jetzt??? Poste ein HijackThis Logfile in diesen Thread!
__________________ |
|
06.12.2004, 18:11
| #3 |
| | Crazywinnings eingefangen, was jetzt??? Ich bin jetzt leider schon zu Hause. Habe dies am privaten PC schon mal ausprobiert, damit es im Büro Morgen auch schnell geht. Werde es sofort am frühen Morgen durchführen. Ich habe von Mittwoch bis Freitag Urlaub. Ich hoffe, das Problem vielleicht schon Dienstag gelöst zu haben?
__________________Gruß Hille34 |
|
07.12.2004, 07:59
| #4 |
| | Crazywinnings eingefangen, was jetzt??? So, ich habe das mit HijackThis gemacht und folgendes kam bei raus. Ich hoffe, du kannst damit was anfangen und mir sagen, was zu tun ist. Logfile of HijackThis v1.98.2 Scan saved at 07:55:24, on 07.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\NavNT\defwatch.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\System32\dpmw32.exe C:\WINNT\system32\NWTRAY.EXE C:\Programme\NavNT\vptray.exe C:\winnt\180ax.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\BullsEye Network\bin\bargains.exe C:\DOKUME~1\HI\EIGENE~1\NEUERO~1\WINZIP\winzip32.exe C:\WINNT\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://linux/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = linux:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = linux;<local> O1 - Hosts: 129.100.1.10 gateway_edv O1 - Hosts: 129.100.1.138 pc_2_108 O1 - Hosts: 129.100.1.1 rmsudis O1 - Hosts: 129.100.1.6 mpdv2 O1 - Hosts: 129.100.1.108 linux O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth O4 - HKLM\..\Run: [180ax] c:\winnt\180ax.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.frame.crazywinnings.com O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab Nochmals Danke im Voraus. Gruss Hille34 |
|
07.12.2004, 19:09
| #5 |
| Gast | Crazywinnings eingefangen, was jetzt??? Lösche dies im abg. Modus: C:\winnt\180ax.exe C:\Programme\BullsEye Network C:\WINNT\system32\msbe.dll Fixe mit HijackThis dies: O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll O4 - HKLM\..\Run: [180ax] c:\winnt\180ax.exe O15 - Trusted Zone: *.frame.crazywinnings.com O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6 O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares...ysb_regular.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab Scanne anschl. mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html Schützen würde dich ein anderer Browser: www.firefox-browser.de ist sicher und kostenlos. www.windowsupdate.com besuchen! |
|
13.12.2004, 09:01
| #6 |
| | Crazywinnings eingefangen, was jetzt??? Hallo Christian, erstmal vielen Dank für die Hilfe. Leider hat es noch nicht den gewünschten Erfolg gehabt. Folgende Zeile läßt sich nicht fixen: 015 - Trusted Zone: *.frame.crazywinnings.com Alles andere konnte ich löschen bzw. fixen. Das Problem besteht dadurch aber weiterhin. Was kann ich jetzt noch tun? Gruß Holger |
|
03.01.2005, 20:28
| #7 |
| | Crazywinnings eingefangen, was jetzt??? Hallo Hille34! In der Registry unter den angegebenen Einträgen nachsehen - dort sollte auch dein Crazywinning-Parasit eingetragen sein. Lösche jeweils den entsprechenden Unterordner des Eintrags. HKCU,"Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains" HKLM,"Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\Domains" Bei mir hats geholfen - der Eintrag ist aus dem Bereich "vertrauenswürdige Sites" verschwunden. Gruß Gruenspan Geändert von Gruenspan (04.01.2005 um 12:26 Uhr) |
|
04.01.2005, 11:02
| #8 |
| | Crazywinnings eingefangen, was jetzt??? @Hille34 vielleicht hilft diesen beitrag http://www.trojaner-board.de/showthr...%FCrdige+Sites chaosman
__________________ Bonus vir semper tiro |
|
| Themen zu Crazywinnings eingefangen, was jetzt??? |
| absolut, ad aware, aware, beschreiben, dumme, einfach, eingefangen, eliminieren, erschein, erscheint, firmenrechner, gefangen, gen, helfen, hijacker, lavasoft, nicht mehr, rechner, seite, sites, stand, suche, teilweise, versuche, vertrauenswürdige |
Hybrid-Darstellung
