Hallo, habe bei malware die win.ini gescannt und folgende Antwort erhalten:
Trojan-Downloader.Agent.lz


Jetzt meldete sich Antivir:

C:\DOKUMENTE UND EINSTELLUNGEN\URSULA\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM

Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Ich mag nicht neu aufsetzen

Gruß
Luxy

Wechsel in den angesicherten Modus (wenn du XP oder ME nutzt auch noch die Systemwiederherstellung abschalten):

http://www.systemwiederherstellung-d...indows-xp.html

Lösche für jeden Nutzer den Inhalt folgender Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf


Boote neu, wen du die systemwiederherstellung abgeschaltet hast, schalte sie wieder ein.

Erstelle einen Log mittels Hijackthis:

Kurzanleitung
Auführliche Anleitung

Zitat:

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!

ok, aber wie schalte ich die Systemwiederherstellung ab?

Lies dir den ersten Link durch, den ich dir gegeben hab.
Wähle dein Betriebsystem, dort wird alles beschrieben.

Zitat:

Zitat von Luxy

ok, aber wie schalte ich die Systemwiederherstellung ab?

Wir können die Links nur posten, lesen musst du sie selbst.


BTW:

Zitat:

C:\DOKUMENTE UND EINSTELLUNGEN\*Benutzername*\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM

Warum verwendest du den IE?

Die Lösung, die dir hier beschrieben wurden, helfen nur, um diesen einen Fall zu lösen. Solche Probleme werden aber mit sicherheit immer wieder kommen.

Deswegen, wie Hauni45 shcon gefragt hat, solltest du einen anderen Browser benutzen. Firefox 1.0.4 scheind ohne zweifel die beste Alternative zu sein.

Der Grund dafür ist dieser: IE ist sehr verbreitet, udn daher ein beliebtes Angriffsziel für Virenschreiber/Würmerschreiber/Spione und andere Leute, dessen Kreationen dir schaden können. Da FireFox nciht so verbreitet ist, gibt es dafür auch keine Maleware.

Außerdem sind bei FireFox alle Sicherheitslücken (so fern überhaupt welche entdeckt wurden) innerhalb von wenigen Tagen behoben worden. Bei Mircosoft dauert ein neues Update mitunter 3 Wochen nach dem Bekanntwerden der Sicherheitslücke. Manche wurden noch dazu noch gar nicht behoben (und scheinen es auch nicht zu werden).

Falls du bedenken hast: FireFox hat den gleichen aufbau wie IE, sieht fast gleich aus usw, ist eben nur sicherer, schneller und kleiner!

grüsse, Mario

Ich verspreche hoch und heilig....sobald dieses Problem gelöst ist, werde ich den IE nie wieder verwenden!!!!!

Hier das Logfile, allerdings bin ich mir nicht sicher, alles richtig gemacht zu haben:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:17, on 16.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
C:\unzipped\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = D:\IWatch.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - [url]https://xxxxxxxxxxxxxx16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [url]http://tools.xxxxxxxxx/eps/wl/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{184AA35C-D4D5-4040-9319-96E8BC2A7775}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

also bevor du den rechner umdrehst, lösch einfach die offlineinhalte der tempfiles. da wo das exploit gemeldet wurde. das kann vorkommen das man auch bei forenseiten ein Exploit aus geposteten links aus logs gemeldet bekommt. schau dir die beschreibungen zu dem exploit an.

einige bitdefender einträge sind unnötig.

edit:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

hier ist beschrieben wie du die tempfiles + OFFLINEINHALTE! wegbekommst:
http://members.linzag.net/680262/Antivir/03.html

Zitat:

Ich verspreche hoch und heilig....sobald dieses Problem gelöst ist, werde ich den IE nie wieder verwenden!!!!!

hehe! Dann hast wenigstens solche Probleme nicht mehr!

Hab jetzt alles gemacht, was rock geschrieben hatte. Wenn ich mir jetzt Firefox runterlade, ist dann mein Rechner wieder sauber?

Ganz lieben Dank an Alle.

Luxy

Zitat:

Wenn ich mir jetzt Firefox runterlade, ist dann mein Rechner wieder sauber?

Der Rechner ist vorher schon sauber, nur wird er früher (heute) oder später (übermorgen) wieder infiziert sein

luxy..wenn du ein bissl paranoid bist, und wegen dem exploit jetzt schon halb umfällst...warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla...

der firefox allein macht's kraut nicht fett...

Zitat:

Zitat von rock

luxy..wenn du ein bissl paranoid bist, und wegen dem exploit jetzt schon halb umfällst...warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla...

der firefox allein macht's kraut nicht fett...

ähm.....was würdest Du denn vorschlagen? Aber wenn, dann bitte einen in deutscher Sprache.
Viele Grüße
Luxy

Zitat:

Zitat von Luxy

ähm.....was würdest Du denn vorschlagen? Aber wenn, dann bitte einen in deutscher Sprache.
Viele Grüße
Luxy

Ich möchte dir nichts einreden...deine Mischung Antivir und Bitdefender Free ist eh ganz okey...so kannst du verdächtige daten immer zweifach prüfen.

Früher oder später wirst du selber feststellen was für dich geeignet ist.

edit3: wenn du weiterhin gratis-schutz bevorzugst; kannst du hier mal klicken/lesen:
http://www.rokop-security.de/index.php?showtopic=1739

Zitat:

Zitat von rock

warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla....

Bla Bla?

Updates sind imho über den Taskplaner steuerbar. "mailschutz" ist unnötig, da beim Ausführen des Wurm-Anhangs eh der Wächter anschlägt (wenn der Scanner den Wurm erkennt). Das sind also keine Argumente gegen AntivirPE.

Gruß
Yopie