hi!

seit einiger zeit öffnen sich, wenn ich mich beim eingeben von internetaddressen vertippe, zweifelhafte dating-seiten..
ich hab mich im internet (auch bei trojaner-board) kundig gemacht.. anscheinend is das ein häufigeres problem
ich hab auch schon sehr vieles versucht:

ad-aware
spybot

die haben auch was gefunden, und behoben.. das problem jedoch das gleiche..

von freunden hab ich mir sagen lassen dass so was mit firefox nicht passiert
zu deren überaschung is auch mit firefox das prob das gleiche

mit hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\AntiVir PersonalEdition Classic\sched.exe
H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\ZoneLabs\vsmon.exe
H:\WINDOWS\Explorer.EXE
H:\WINDOWS\System32\VTTimer.exe
H:\WINDOWS\System32\VTtrayp.exe
H:\Programme\HP\hpcoretech\hpcmpmgr.exe
H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\WINDOWS\System32\PuXpMan.exe
H:\Programme\T-DSL SpeedManager\SpeedMgr.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
H:\Programme\ICQLite\ICQLite.exe
H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
H:\Programme\Winamp\winampa.exe
H:\WINDOWS\System32\ctfmon.exe
H:\Programme\Messenger\msmsgs.exe
H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Programme\T-DSL SpeedManager\tsmsvc.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
H:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
H:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
H:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
H:\Programme\eMule\eMule.exe
H:\Programme\Winamp\winamp.exe
H:\WINDOWS\System32\taskmgr.exe
H:\DOKUME~1\NIKLAS\EIGENE~1\MIST\WINZIP\winzip32.exe
H:\Dokumente und Einstellungen\Niklas\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - H:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - H:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [HP Component Manager] "H:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avgnt] "H:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [mspwr] H:\WINDOWS\System32\PuXpMan.exe
O4 - HKLM\..\Run: [PwrUpTweakMe] "H:\WINDOWS\System32\PUXPTWKS.EXE" /TWEAK
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "H:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "H:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [ICQ Lite] "H:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "H:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [dmzzq.exe] H:\WINDOWS\System32\dmzzq.exe
O4 - HKLM\..\Run: [WinampAgent] H:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] H:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://H:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: h:\windows\system32\spacklsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O20 - Winlogon Notify: WRNotifier - H:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - H:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - H:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Sniff Managmnet Service - Unknown owner - H:\WINDOWS\system32\csrv.exe (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - H:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - H:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - H:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows System Tray - Unknown owner - H:\WINDOWS\systay.exe (file missing)

ich hab auch schon anwendungen mit "bösen buben " im internet verglichen.. nix gefunden ):
schön langsam fällt mir nix mehr ein

bitte helft mir!

danke schon mal

gruß emil

Hallo Emil,

bevor Du jetzt den FireFox verteufelst, wieso fehlt SP2 und alle anschließenden Updates bei Dir?

Logfile of HijackThis v1.99.1
Scan saved at 14:30:20, on 18.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Du hast eine Umleitung in die Ukraine. Weiter habe ich garnicht mehr nachgeschaut.
Mach die Kiste platt und setze neu auf->am besten nach der Anleitung
Klick


Gruß cad

hallo cad!

gibt es keine andere möglichkeit?

gruß niklas

Hallo Niklas,

meiner Meinung nach Nein

SP2 + alle nachfolgenden Updates sind Pflicht.

SP2 Download
updates

Wichtig

Deine erste Internetverbindung sollte Dich auf diese Seite führen -> Microsoft Windows Update


Tut mir leid, eine andere Möglichkeit sehe ich nicht.

Gruß cad

Hi

Lade die Dateien
H:\WINDOWS\System32\dmzzq.exe
h:\windows\system32\spacklsp.dll

mal bei Virustotal rauf und schau was dort rauskommt.

Wenn böse, dann weg damit und such dir einen LSP Winsock Fix. (das kann man auch manuell machen, aber das ist ein bischen mehr zum Erklären).


Setze die Einstellungen mal zurück (also ändere die Werte auf bekannte Werte, nimm irgendeinen Nameserver).

HKLM\System\CCS\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{82967E9B-52EB-4E3A-8AB0-570F8BDBD38E}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS1\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.225
O17 - HKLM\System\CS2\Services\Tcpip\..\{047B9FE5-EFBB-45C8-A09C-E03129682073}: NameServer = 85.255.116.146,85.255.112.225
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112


Dann installier dir SP2 und die Patches drauf und lass mal einen akt. Virenscanner drüber laufen.

Ich würde da mal den Kaspersky empfehlen, aber das ist durchaus auch Geschmackssache.

Dann poste wieder was Sache ist

lg

mOIn auch

@Njall da gibt es nix mehr zu Bereinigen, das System ist ungepflegt und veraltet,
außerdem es sind/waren im System min. 2 Backdoors unterwegs und hier am Bord bereinigt soviel ich weiß, niemand Backdoors, weil es nicht sicher ist,
also hat cad völlig recht -->Neuaufsetzen.

MFG

Hi

Aus praktischer Erfahrung bin ich eher ein Mensch der das Auto nicht verschrottet nur weil der Auspuff ein Loch hat.
So als Analogie.

Es ist generell unter Windows NIE sicher und es gibt genug unbekannte Exploits und Viren die von keinem Scanner gefunden werden und gegen die die ganzen guten Tipps nicht nützen.

Wenn man nicht die Zeit hat Stunden oder Tage mit Neuaufsetzen zu verbringen denke ich doch das man mit einem guten Virenscanner den Rechner bereinigen kann. (und mit ein bischen Handarbeit in der Registry).

Es kann mir auch gerne jemand den Schädling schicken, dann kann ich dir genau sagen was er macht (wenn er gefunden wird) und das kann man auch wieder fixen.


Just my two cents.

Und das Virenscanner runterladen, installieren, aktualisieren, durchlaufen lassen und anschließend die Pfuscharbeit in der Registry soll keine Stunden in Anspruch nehmen.
Zumal der TO jetzt wahrscheinlich Kapersky installieren würde und sich damit schon mal ne Menge Stress einhandeln würde, weil Antivir und Kapersky sich bekriegen.

Um auf deine Analogie zurückzugreifen:
Hier ist nicht nur ein Loch im Auspuff, der Junge hat auch noch im Motor rumgeschraubt und man weiß nicht wo.
(und bis du rausgefunden hast wo der in 2 Monaten alles rumgeschraubt hat, hat der TO schon 100 Mal neuaufgesetzt. )

lg myrtille

Hi

Ok .. ich denke wir beenden das, es ist scheinbar wirklich Geschmacksache was man macht, ich brauche für Kaspersky mit relevantem Scan und Registry 30 Min .. aber das liegt vielleicht auch an meiner beruflichen Tätigkeit .

Das man den Antivir Guard vorher deaktivieren muss ist klar, aber ok ..

Sorry .. no offense meant

Greets ..

mOIn

Zitat:

Zitat von myrtille

Hier ist nicht nur ein Loch im Auspuff, der Junge hat auch noch im Motor rumgeschraubt und man weiß nicht wo.

das hast du sooo schön gesagt:aplaus:
und trifft ziemlich genau, das was ich sagen wollte
MFG

Zitat:

Zitat von Njall

Hi

Aus praktischer Erfahrung bin ich eher ein Mensch der das Auto nicht verschrottet nur weil der Auspuff ein Loch hat.
So als Analogie.

Das trifft hier definitiv nicht zu, die Kiste war/ist ungepatcht und kompromittiert. Das ist wesentlich mehr als "nur ein Loch im Auspuff".
Was man mit (ungepatchten) kompromittierten Systemen machen, steht in diesem MS-Technet-Artikel geschrieben. Alles andere als neu aufsetzen ist fahrlässig!
Eine Bereinigung ist nicht völlig unmöglich, aber bei Backdoorbefall ist die einfachste und beste Methode das Neuaufsetzen.

Zitat:

Es ist generell unter Windows NIE sicher und es gibt genug unbekannte Exploits und Viren die von keinem Scanner gefunden werden und gegen die die ganzen guten Tipps nicht nützen.

Es gibt keine 100%ige Sicherheit, aber man kann das Risiko gering halten. Unbekannte Exploits hin oder her, man benutzt nur Software, die aus einer vertrauenswürdigen Quelle stammt. Gesurft wird mit eingeschränkten Rechten. Man legt regelmäßig Backups/Systemimages an nicht nur um nach Schädlingsbefall schnell wieder ein sauberes System zu bekommen, sondern auch für den Fall eines Plattendefekts. IMHO ist es kein Argument, das Bereinigen damit zu begründen, dass Windows nicht sicher genug sei. Klingt für mich eher als eine Ausrede, weil man das System nicht gepfegt und Backups angelegt hat.

Zitat:

Wenn man nicht die Zeit hat Stunden oder Tage mit Neuaufsetzen zu verbringen denke ich doch das man mit einem guten Virenscanner den Rechner bereinigen kann. (und mit ein bischen Handarbeit in der Registry).

Auf einem kompromittierten System hat ein Virenscanner kaum eine Chance! Hinzu kommen die prinzipbedingten Schwächer von VS! Kennst Du schon in diesem Zusammenhang diese nette Anekdote?

Zitat:

Es kann mir auch gerne jemand den Schädling schicken, dann kann ich dir genau sagen was er macht (wenn er gefunden wird) und das kann man auch wieder fixen.

Wie genau willst Du denn das anstellen?

Hi

Natürlich sollte man Backups machen und die ganzen anderen netten Dinge, die kenne ich seit 10 Jahren und es hält sich nach wie vor kein Schwein dran
Man sollte eigentlich ein Image haben vom akt. System, dann kann ich das in sehr kurzer Zeit restaurieren.

Nat. sollte man sein System pflegen, aber man kann def. die Systeme sehr sehr oft fixen ohne sie platt zu machen, aber das ist scheinbar hier durchaus ideologisch belegt.

Das VS generell Schwachstellen haben ist mir bekannt, natürlich, das ist seit den 50er Jahren eigentlich bewiesen.

Wie ich das reversieren wil ??

Solange es nicht überschreibend war (und nicht mal das ist ein Problem) kann man durch die Analyse des Schadcodes sehr gut herausfinden was der macht und eben genau das reversieren.

(Nur alles weitere geht in Sachen die ich nicht öffentlich erläutern werde).

Add Annektote:

Zitat: "Ausnahmen bilden Dateien, die keinesfalls ausführbaren Code enthalten,"

siehe WMF Exploit, siehe JPEG Exploit, siehe Windows Media Files DRM Exploit, siehe PDF Exploit etc. so viel zu Thema "Gute Tipps ohne Virenscanner".

Der beste Schutz gegen Viren ist es keine Verbindung nach aussen zu haben




Lg

Zitat:

Zitat von Njall

Hi
Natürlich sollte man Backups machen und die ganzen anderen netten Dinge, die kenne ich seit 10 Jahren und es hält sich nach wie vor kein Schwein dran

Tja schön blöd, v.a. wenn die Festplatte stirbt. Aber ist ja kein Problem, lieber gibt man einige Tausend Euro für die die Datenrestaurierung defekter HDDs aus als lästige regelmäßige Backups anzufertigen.

Zitat:

Man sollte eigentlich ein Image haben vom akt. System, dann kann ich das in sehr kurzer Zeit restaurieren.

Muss man nicht, man kann auch "von Hand" neu aufsetzen, aber ein Image erleichtert und beschleunigt die Sache doch erheblich.

Zitat:

Nat. sollte man sein System pflegen, aber man kann def. die Systeme sehr sehr oft fixen ohne sie platt zu machen, aber das ist scheinbar hier durchaus ideologisch belegt.

Klar kann man Systeme fixen, Du kannst Ad- und Spyware entfernen, aber bei Rootkits/Backdoors sieht die Sache anders aus. Wer wirklich darauf aus ist, einen rootkitfreien Rechner zu haben, setzt in jedem Falle neu auf, alles andere ist Schmu, da man nie die Sicherheit hat, wirklich alles schädliche entfernt zu haben.

Zitat:

Das VS generell Schwachstellen haben ist mir bekannt, natürlich, das ist seit den 50er Jahren eigentlich bewiesen.

50iger Jahre??

Zitat:

Solange es nicht überschreibend war (und nicht mal das ist ein Problem) kann man durch die Analyse des Schadcodes sehr gut herausfinden was der macht und eben genau das reversieren.

(Nur alles weitere geht in Sachen die ich nicht öffentlich erläutern werde).

Nur wie viel Zeit willst Du dafür opfern? Willst Du wochenlang den Schädling analysieren?

Hi

Ja 50er Jahre das waren die theoretischen Anfänge.

Wirklich in die Praxis umgesetzt wurde das dann in den 80er Jahren.

Man braucht nicht Wochen für einen Schädling zur Analyse

Lg

Zitat:

Zitat von Njall

Wie ich das reversieren wil ??

Solange es nicht überschreibend war (und nicht mal das ist ein Problem) kann man durch die Analyse des Schadcodes sehr gut herausfinden was der macht und eben genau das reversieren. Lg

Nein, kannst du nicht. Der Schadcode gibt dir keinen Aufschluß darüber, was über die ungewollt geöffnete Verbindung läuft. Hör bitte auf, die TO in falscher Sicherheit zu wiegen. Du sitzt nicht vor ihrem Rechner und hast keine Ahnung, was auf dem befallenen System gerade läuft. Mit Zugriff auf Ring 0 läßt sich das gesamte System auf den Kopf stellen, und es gibt Kompromittierungsmöglichkeiten, die prinzipbedingt nicht ausfindig zu machen sind. Mit ein paar logs ist es nicht getan und mit der Analyse des Schadcodes erst recht nicht. Die Seiten von Joanna Rutkowska sagen dir sicherlich was, von daher solltest du es besser wissen. Gruß