|
Plagegeister aller Art und deren Bekämpfung: für euch wahrscheinlich ein altes problem...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
27.05.2004, 16:35 | #1 |
| für euch wahrscheinlich ein altes problem... hallo zusammen, habe mir wohl irgendwo einen trojaner eingefangen, der mir beim IE die startseite manipuliert und ich ständig eine sexseite vorfinde. mittlerweile habe ich schon ad-aware, spybot, cdshredder und hijackthis, laufen lassen. ad-aware und spybot haben nichts gefunden. cdshredder bringt mir zwar eine info, mit der kann ich aber leider nichts anfangen. hijackthis bringt mir in dem logfile auch eindeutige einträge, die sogar ich als laie erkenne und auch schon gelöscht habe, zumindest die ersten 12 R1 und R2 einträge, allerdings erscheinen sie jedes mal wieder. auch nach einem neustart des systems. jetzt komme ich leider nicht mehr witer und hoffe auf eure hilfe. hier der report von cdshredder: Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, A) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4 CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4 CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4 CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4 Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINDOWS\win.ini (1396 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A) und hier der logfile von hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 17:15:21, on 27.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\firebird\bin\ibguard.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\firebird\bin\ibserver.exe C:\Programme\QKeys\QKeys.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AntiViren\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\AntiViren\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ibserver] C:\Programme\firebird\\bin\ibserver.exe O4 - HKLM\..\Run: [MBGroup] C:\BSA\VPMSRun\dll.32\MBGroup.exe C:\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini C:\BSA\VPMSRun\dll.32\mb.log O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: DigiChat Applet - http://www.kwickchat.de/DigiChat/Dig.../Client_IE.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab ich hoffe, ihr könnt mir weiterhelfen... grüße tobzie |
27.05.2004, 17:52 | #2 |
für euch wahrscheinlich ein altes problem... Hallo tobzie und Willkommen im Board,
__________________</font><blockquote>Zitat:</font><hr />...hier der report von cdshredder...</font>[/QUOTE]Bitte bei dem CWShredder auf Fix -> klicken. Dabei unbedingt alle anderen Anwendungen schließen! Anschließend den Rechner neu booten. Wenn danach noch vorhanden fixe bitte folgende Einträge mit HijackThis: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.myexexex.com/searchbar.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.myexexex.com/search.php?said=spage R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.myexexex.com/searchbar.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.myexexex.com/search.php?said=spage&qq=%s R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.myexexex.com/search.php?said=spage </font>[/QUOTE]Außerdem muss die Datei c:/spad/start.html gelöscht werden, falls noch vorhanden. 'Interessant' ist auch, ob sich in dem Pfad c:\spad weitere Dateien befinden. Wenn ja, überprüfe diese online bei Kaspersky: http://www.kaspersky.com/de/scanforvirus.html Anschließend boote den Rechner bitte noch einmal neu und erstelle ein neues Log mit HijackThis und poste es hier noch einmal.
__________________ |
28.05.2004, 09:04 | #3 |
| für euch wahrscheinlich ein altes problem... hallo lutz,
__________________vielen vielen dank, so wie es aussieht, ist mein rechner jetzt bereinigt. in der datei c:/spad waren ungefähr 50 jpg's und gif's... zur sicherheit hier noch einmal das aktuelle log von highjackthis: Logfile of HijackThis v1.97.7 Scan saved at 10:00:09, on 28.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\firebird\bin\ibguard.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\slserv.exe C:\Programme\SentinelSuperProServer\spnsrvnt.exe C:\Programme\firebird\bin\ibserver.exe C:\Programme\QKeys\QKeys.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AntiViren\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local> O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\AntiViren\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ibserver] C:\Programme\firebird\\bin\ibserver.exe O4 - HKLM\..\Run: [MBGroup] C:\BSA\VPMSRun\dll.32\MBGroup.exe C:\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini C:\BSA\VPMSRun\dll.32\mb.log O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: DigiChat Applet - http://www.kwickchat.de/DigiChat/Dig.../Client_IE.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab ich hoffe, das log ist jetzt in ordnung. beim fixen mit cdshredder hat mir das programm eine datei gebracht, die es nicht fixen kann. habe damit auch nichts anfangen können und im internet auch nichts dazu gefunden. sagt dir das was?? "C:/windows/CSUninst.exe" noch mal vielen dank und gruß tobi |
28.05.2004, 09:28 | #4 |
| für euch wahrscheinlich ein altes problem... </font><blockquote>Zitat:</font><hr />Original erstellt von tobzie: C:\Programme\firebird\bin\ibguard.exe</font>[/QUOTE]Kleiner Tip am Rande: Den Firebird gibt es nicht mehr, er heisst jetzt Firefox und steht hier zum Downlaod bereit. ciao
__________________ Mail-Header verstehen ~~~~~~~~~~~~~~ Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid) |
Themen zu für euch wahrscheinlich ein altes problem... |
.inf, 0 bytes, ad-aware, adobe, antivirus, bho, dateien, drivers, excel, gelöscht, hijack, hijackthis, home, internet, internet explorer, logfile, microsoft, neustart, object, programme, realplayer, registry, registry value, shockwave, software, sun java, symantec, trojaner, trojaner eingefangen, träge, userinit.exe, windows, windows xp, windows\system32\drivers, winlogon |