Hallo an alle,

Ich habe seit kurzer Zeit den Rechner einer Freundin bei mir. Das Problem ist, das seit kurzem anstatt ihr Desktopbild, ein rot-schwarzer Hintergrund mit blinkender Warnung "DANGER:SPYWARE" prangert. Er zeigt mir an, dass das System mit spyware, spyware tracks usw. verunreinigt ist. Darunter befinden sich Razespyware-Verlinkungen mit dem Hinweis das man dafür ca. 50 $ bezahlen soll.
Daraufhin habe ich im abgesicherte Modus scans gemacht und auch einiges beseitigt. Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.

Hier mal die Hijacklogfiles des Rechners.

Logfile of HijackThis v1.99.1
Scan saved at 08:44:57, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\tppnttry.exe
C:\Dokumente und Einstellungen\User 1\Eigene Dateien\HijackThis\HijackThis.exe

O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [eeppu.exe] C:\WINDOWS\system32\eeppu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: WEB.DE SmartSurfer.lnk = C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Ich hoffe ihr könnt mir weiterhelfen. Danke an euch
mfg stringx1

Hallo,

Zitat:

Zitat von stringx1

Jetzt ist das Problem wie bekomme ich diese Ausgabe von der Desktopoberfläche.

Ganz Einfach: Klick .

Und der Grund:

Zitat:

Zitat von stringx1

O17 - HKLM\System\CCS\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63
O17 - HKLM\System\CS1\Services\Tcpip\..\{04A37543-3A34-4A74-B767-06A1FC13231B}: NameServer = 85.255.115.34,85.255.112.63
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.34 85.255.112.63

Umleitung über die Ukraine. Lässt auf einen Backdoor Befall schhließen.


Gruß Mellosun

Hallo,

Zitat:

Lässt auf einen Backdoor Befall schhließen.

Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.
Neuaufsetzen könnte man trotzdem in Erwägung ziehen, da es kompliziert werden könnte.
Falls nicht gewünscht, beende mal den Prozess C:\WINDOWS\tppnttry.exe im Taskmanager, überprüfe die zugehörige Datei hier und poste das Ergebnis.

Edit
Falls vorhanden die Datei C:\WINDOWS\system32\eeppu.exe ebenfalls prüfen.



Grüße Wildone

Hallo,

Zitat:

Zitat von Wildone

Quelle?
Ich sehe keinen zwingenden Zusammenhang zwischen dem verändern der DNS und einer Backdoorkomponente.

Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt. Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.
Natürlich lasse ich es mir gern erklären, wie das zustande kommt, falls meine Infos falsch sind!
Und wenn das jemand mal machen würde, könnte er mir auch gleich beantworten, was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......


Gruß Mellosun

Hallo,

Zitat:

Nun, ich sagte ja nicht, das es ein Backdoor Befall gibt.

Irgendwie schon, impliziert für mich die Aussage:

Zitat:

Lässt auf einen Backdoor Befall schhließen.

Zitat:

Aber ich habe mal von jemanden gehört oder war es gelesen, das eine Umleitung oft mit einem Backdoor zusammen hängt.

Gelesen habe ich das auch, geglaubt habe ich es nicht, ich sehe da einfach keinen Zusammenhang. Wäre ähnlich wie wenn man sagt, das verändern der Startseite deutet auf einen Backdoor hin.

Zitat:

was eigentlich das Problem an so einer Umleitung ist! Das habe ich nämlich noch nicht verstanden......

Mach ich mal ohne große technische Details, also, um Internetaddressen einen größeren Merkfaktor zu geben hat man ihnen Namen zugeteilt, wie z.B. www.google.de. Eigentlich werden aber diese Seiten über eine IP angesteuert, bei google.de z.B. 216.239.57.104, diese Nummern sind aber nicht einfach zu behalten, daher die Namen. Jetzt brauch man einen Server der den jeweiligen Namen die richtige IP zuordnet, diese Server sitzen bei deinem ISP.
Jetzt sind aber hier bei dem TE die Adressen dieser Server vertauscht worden, mit welchen die in der Ukraine sitzen, damit kann man jetzt natürlich einen haufen "Schabernack" treiben, was z.B. häufig gemacht wird ist die Google Suchergebnisse umzuleiten (User klickt auf Link, gibt somit einen Domainnamen im Browser ein, Server aus der Ukraine soll diesen den google Ergbnissen zuordnen, tut dieses aber nicht, sondern leitet ihn zu einer IP des Sponsors um).
Was man damit allerdings auch ohne Probleme machen könnte (wird teilweise auch gemach):
User gibt deutsch-bank.de ein Server leitet auf die aktuellste Pfishingseite um, und schon kann das Unglück seinen Lauf nehmen. Vorteil zum "normalen" Pfishing, man kann immer auf die neu aufgemachte Seite umleiten, da naturgemäß solche Seiten sehr schnell wieder geschloßen werden, man muss also nur den Server in der Ukraine immerwieder updaten und nicht den PC des Users.

Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.



Grüße Wildone

Zitat:

Zitat von Wildone

Ich hoffe ich habe es einigermaßen verständlich erklärt und bin trotzdem technisch korrekt geblieben.

Ja bist du und ein großes Dankeschön an Dich. Sowas in der Art hatte ich mir gedacht! Jetzt bin ich wieder ein wenig schlauer.....Danke!



Gruß Mellosun