Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: für euch wahrscheinlich ein altes problem...

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.05.2004, 16:35   #1
tobzie
 
für euch wahrscheinlich ein altes problem... - Frage

für euch wahrscheinlich ein altes problem...



hallo zusammen,

habe mir wohl irgendwo einen trojaner eingefangen, der mir beim IE die startseite manipuliert und ich ständig eine sexseite vorfinde.

mittlerweile habe ich schon ad-aware, spybot, cdshredder und hijackthis, laufen lassen. ad-aware und spybot haben nichts gefunden. cdshredder bringt mir zwar eine info, mit der kann ich aber leider nichts anfangen.

hijackthis bringt mir in dem logfile auch eindeutige einträge, die sogar ich als laie erkenne und auch schon gelöscht habe, zumindest die ersten 12 R1 und R2 einträge, allerdings erscheinen sie jedes mal wieder. auch nach einem neustart des systems. jetzt komme ich leider nicht mehr witer und hoffe auf eure hilfe.

hier der report von cdshredder:

Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (820 bytes, A)
Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe
UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe,
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwebsearch.com[*] dword:4
CWS.Oslogo (if value is 2) Registry value: Domains: *.coolwwwsearch.com[*] dword:4
CWS.Googlems.2 (if value is 2) Registry value: Domains: *.xxxtoolbar.com[*] dword:4
CWS.Googlems.4 (if value is 2) Registry value: Domains: *.teensguru.com[*] dword:4
Registry value: DefaultPrefix (should be http://) [] http://
Registry value: WWW Prefix (should be http://) [www] http://
Registry value: Mosaic Prefix (should be http://) [mosaic] http://
Registry value: Home Prefix (should be http://) [home] http://
Found Win.ini file: C:\WINDOWS\win.ini (1396 bytes, A)
Found System.ini file: C:\WINDOWS\system.ini (227 bytes, A)


und hier der logfile von hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 17:15:21, on 27.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\firebird\bin\ibguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\firebird\bin\ibserver.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiViren\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;<local>
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\AntiViren\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ibserver] C:\Programme\firebird\\bin\ibserver.exe
O4 - HKLM\..\Run: [MBGroup] C:\BSA\VPMSRun\dll.32\MBGroup.exe C:\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini C:\BSA\VPMSRun\dll.32\mb.log
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: DigiChat Applet - http://www.kwickchat.de/DigiChat/Dig.../Client_IE.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


ich hoffe, ihr könnt mir weiterhelfen...

grüße
tobzie

Alt 27.05.2004, 17:52   #2
Lutz
 

für euch wahrscheinlich ein altes problem... - Beitrag

für euch wahrscheinlich ein altes problem...



Hallo tobzie und Willkommen im Board,

</font><blockquote>Zitat:</font><hr />...hier der report von cdshredder...</font>[/QUOTE]Bitte bei dem CWShredder auf Fix -&gt; klicken. Dabei unbedingt alle anderen Anwendungen schließen!
Anschließend den Rechner neu booten.
Wenn danach noch vorhanden fixe bitte folgende Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.myexexex.com/searchbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.myexexex.com/search.php?said=spage
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.myexexex.com/searchbar.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.myexexex.com/search.php?said=spage&qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.myexexex.com/search.php?said=spage&qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://www.myexexex.com/search.php?said=spage
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://www.myexexex.com/search.php?said=spage </font>[/QUOTE]Außerdem muss die Datei c:/spad/start.html gelöscht werden, falls noch vorhanden. 'Interessant' ist auch, ob sich in dem Pfad c:\spad weitere Dateien befinden. Wenn ja, überprüfe diese online bei Kaspersky: http://www.kaspersky.com/de/scanforvirus.html

Anschließend boote den Rechner bitte noch einmal neu und erstelle ein neues Log mit HijackThis und poste es hier noch einmal.
__________________

__________________

Alt 28.05.2004, 09:04   #3
tobzie
 
für euch wahrscheinlich ein altes problem... - Beitrag

für euch wahrscheinlich ein altes problem...



hallo lutz,

vielen vielen dank, so wie es aussieht, ist mein rechner jetzt bereinigt. in der datei c:/spad waren ungefähr 50 jpg's und gif's...

zur sicherheit hier noch einmal das aktuelle log von highjackthis:

Logfile of HijackThis v1.97.7
Scan saved at 10:00:09, on 28.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\firebird\bin\ibguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\firebird\bin\ibserver.exe
C:\Programme\QKeys\QKeys.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AntiViren\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;&lt;local&gt;
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\AntiViren\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [QKeys] C:\Programme\QKeys\QKeys.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ibserver] C:\Programme\firebird\\bin\ibserver.exe
O4 - HKLM\..\Run: [MBGroup] C:\BSA\VPMSRun\dll.32\MBGroup.exe C:\BSA\VPMSRun\VFrame32\Menu\MenuBera.ini C:\BSA\VPMSRun\dll.32\mb.log
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: DigiChat Applet - http://www.kwickchat.de/DigiChat/Dig.../Client_IE.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

ich hoffe, das log ist jetzt in ordnung.

beim fixen mit cdshredder hat mir das programm eine datei gebracht, die es nicht fixen kann. habe damit auch nichts anfangen können und im internet auch nichts dazu gefunden. sagt dir das was?? "C:/windows/CSUninst.exe"

noch mal vielen dank und gruß
tobi
__________________

Alt 28.05.2004, 09:28   #4
CyberFred
 
für euch wahrscheinlich ein altes problem... - Beitrag

für euch wahrscheinlich ein altes problem...



</font><blockquote>Zitat:</font><hr />Original erstellt von tobzie:
C:\Programme\firebird\bin\ibguard.exe</font>[/QUOTE]Kleiner Tip am Rande: Den Firebird gibt es nicht mehr, er heisst jetzt Firefox und steht hier zum Downlaod bereit.

ciao
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Antwort

Themen zu für euch wahrscheinlich ein altes problem...
.inf, 0 bytes, ad-aware, adobe, antivirus, bho, dateien, drivers, excel, gelöscht, hijack, hijackthis, home, internet, internet explorer, logfile, microsoft, neustart, object, programme, realplayer, registry, registry value, shockwave, software, sun java, symantec, trojaner, trojaner eingefangen, träge, userinit.exe, windows, windows xp, windows\system32\drivers, winlogon




Ähnliche Themen: für euch wahrscheinlich ein altes problem...


  1. Neuer PC - altes Problem. Mit WoW kam auch Agent.3526
    Log-Analyse und Auswertung - 12.12.2014 (3)
  2. altes Thema- und nichts verstanden
    Plagegeister aller Art und deren Bekämpfung - 06.03.2013 (1)
  3. winload toolbar - Ich weiß, dass das ein altes Problem ist. Aber ich komm nicht weiter
    Log-Analyse und Auswertung - 27.09.2012 (10)
  4. Altes/neues Problem mit selbstöffnenden Tabs?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2011 (1)
  5. Schweres Problem -Rootkit wahrscheinlich
    Log-Analyse und Auswertung - 18.03.2010 (3)
  6. (wahrscheinlich) problem mit dlr.agent
    Plagegeister aller Art und deren Bekämpfung - 27.02.2009 (3)
  7. Frisches System - Altes Problem
    Log-Analyse und Auswertung - 12.02.2009 (4)
  8. altes thema, neues problem... mit kaspersky updates & firefox/ie
    Antiviren-, Firewall- und andere Schutzprogramme - 28.05.2008 (5)
  9. altes Laptop quälend langsam
    Log-Analyse und Auswertung - 07.03.2008 (10)
  10. Altes Problem, keine Lösung! (Statuscode 128, durch services.exe)
    Plagegeister aller Art und deren Bekämpfung - 11.03.2007 (3)
  11. Ich habe ein Problem mit meinem PC - Trojaner wahrscheinlich -
    Log-Analyse und Auswertung - 07.09.2006 (6)
  12. SVCHOST.EXE ... ich weis, altes Thema...
    Log-Analyse und Auswertung - 24.07.2006 (11)
  13. XP für altes Notebook?
    Alles rund um Windows - 02.06.2006 (4)
  14. Bizzar: SP2 bringt altes Problem wieder auf IE öffnet automatscih
    Log-Analyse und Auswertung - 18.02.2005 (6)
  15. Hab ein Problem für euch!!!
    Plagegeister aller Art und deren Bekämpfung - 07.01.2005 (4)
  16. neue lösung für altes problem mit hijacker??
    Log-Analyse und Auswertung - 21.06.2004 (2)

Zum Thema für euch wahrscheinlich ein altes problem... - hallo zusammen, habe mir wohl irgendwo einen trojaner eingefangen, der mir beim IE die startseite manipuliert und ich ständig eine sexseite vorfinde. mittlerweile habe ich schon ad-aware, spybot, cdshredder und - für euch wahrscheinlich ein altes problem......
Archiv
Du betrachtest: für euch wahrscheinlich ein altes problem... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.