| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojan.Link.optimizerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
28.11.2006, 11:19
| #1 |
| |  Trojan.Link.optimizer Guten Morgen, der oben benannte Trojaner stellte Norton Antivirus -läßt sich seither nicht mehr aktivieren u. deinstallieren- und Avira AntiVir fest. Beim letzteren ließ sich der "Feind" manuell löschen. Alle schädlichen Dateien waren gekoppelt an ".temp" . Der PC ging vorher und nachher, mit einer kleinene Ausnahme: Bankverbindungen, Bahnticketkauf usw. ist gesperrt, bzw. Zugriff auf die Seiten abgewiesen. Java ist aktuell, SSL2.0+3.0 u. TLS1.0 aktiv. Ansonsten habe ich an der Internet.- u. Browsersicherheitseinstellung nix gändert- nur da könnte meiner Meinung der Fehler liegen-. WinXP SP2: Firewall, Virenschutz aktiv. Nutze t-online Browser Zum Test hatte ich GhostSurf geladen (ist wieder deinstalliert). Ist dieser Trojaner überhaupt mit meiner Zugriffseinschränkung erklärbar?  Danke und Gruß an alle! Geändert von solay01 (28.11.2006 um 11:58 Uhr) Grund: Nachtrag |
|
28.11.2006, 18:39
| #2 |
| |  Trojan.Link.optimizer Guten Abend, ich antworte mir mal selber zu dem was ich bisher erledigen/finden konnte:
__________________StartupList report, 28.11.2006, 18:15:21 StartupList version: 1.52 Started from : C:\DOKUME~1\Iris\LOKALE~1\Temp\Temporäres Verzeichnis 1 für startuplist.zip\StartupList.EXE Detected: Windows XP SP2 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180) * Using default options ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\Programme\MRU-Blaster\scheduler.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\a-squared Anti-Malware\a2wizard.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE C:\DOKUME~1\Iris\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\DOKUME~1\Iris\LOKALE~1\Temp\Temporäres Verzeichnis 1 für startuplist.zip\StartupList.exe -------------------------------------------------- Listing of startup folders: Shell folders Startup: [C:\Dokumente und Einstellungen\Iris\Startmenü\Programme\Autostart] MRU-Blaster Scheduler.lnk = C:\Programme\MRU-Blaster\scheduler.exe MRU-Blaster Silent Clean.lnk = C:\Programme\MRU-Blaster\mrublaster.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run avgnt = "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min a-squared = "C:\Programme\a-squared Anti-Malware\a2guard.exe" -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=*Registry value not found* drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll - {02478D38-C3F9-4efb-9B51-7695ECA05670} (no name) - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} (no name) - c:\programme\google\googletoolbar1.dll - {AA58ED58-01DD-4d91-8333-CF10577473F7} (no name) - C:\Programme\Norton AntiVirus\NavShExt.dll - {BDF3E430-B101-42AD-A544-FADC6B084872} -------------------------------------------------- Enumerating Task Scheduler jobs: Norton AntiVirus - Meinen Computer prüfen.job Symantec NetDetect.job -------------------------------------------------- Enumerating Download Program Files: [ppctlcab] CODEBASE = http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab OSD = C:\WINDOWS\Downloaded Program Files\CONFLICT.1\OSD38A.OSD [Windows Genuine Advantage Validation Tool] InProcServer32 = C:\WINDOWS\system32\legitcheckcontrol.dll CODEBASE = http://go.microsoft.com/fwlink/?linkid=39204 [{2FC9A21E-2069-4E47-8235-36318989DB13}] CODEBASE = http://ppupdates.ca.com/downloads/scanner/axscanner.cab [MUWebControl Class] InProcServer32 = C:\WINDOWS\system32\muweb.dll CODEBASE = http://update.microsoft.com/microsof...?1164290602750 [{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}] CODEBASE = http://fpdownload.macromedia.com/get.../ultrashim.cab [{917623D1-D8E5-11D2-BE8B-00104B06BDE3}] CODEBASE = http://spitz-online.dyndns.ws/active...CamControl.cab [{9F1C11AA-197B-4942-BA54-47A8489BB47F}] CODEBASE = http://v4.windowsupdate.microsoft.co...7884.393599537 [{C14C9409-1E1B-4F00-94AD-70F055AA71B2}] CODEBASE = http://www.tradesignalonline.com/wpa...t-2-7-0-45.cab [Java Plug-in 1.4.1_02] InProcServer32 = C:\Programme\Java\jre1.5.0_09\bin\ssv.dll [{DEB21AD3-FDA4-42F6-B57D-EE696A675EE8}] CODEBASE = http://as.photoprintit.de/ips-opdata...PSUploader.cab [{E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD}] CODEBASE = http://download.abacast.com/download...basetup144.cab -------------------------------------------------- Enumerating Winsock LSP files: Protocol #1: C:\WINDOWS\system32\spacklsp.dll Protocol #2: C:\WINDOWS\system32\spacklsp.dll Protocol #3: C:\WINDOWS\system32\spacklsp.dll Protocol #4: C:\WINDOWS\system32\spacklsp.dll Protocol #5: C:\WINDOWS\system32\spacklsp.dll Protocol #27: C:\WINDOWS\system32\spacklsp.dll -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll WebCheck: C:\WINDOWS\System32\webcheck.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 6.949 bytes Report generated in 0,062 seconds Command line options: /verbose - to add additional info on each section /complete - to include empty sections and unsuspicious data /full - to include several rarely-important sections /force9x - to include Win9x-only startups even if running on WinNT /forcent - to include WinNT-only startups even if running on Win9x /forceall - to include all Win9x and WinNT startups, regardless of platform /history - to list version history only Ist da etwas verdächtiges? Die LogfileAuswertung bearbeite ich gerade. Beim update z.B. erhalte ich oft die Meldung Server/Internetverbindung fehlerhaft. Obwohl AntiVir im System keine Fehler mehr findet. Danke fürs Lesen. |
|
28.11.2006, 22:41
| #3 |
| /// Helfer-Team    | Trojan.Link.optimizer Ist das Problem nun gelöst oder war Dein Posting eine Feststellung? Ansonsten mache:
__________________Prüfe das System mit F-Secure Blacklight und poste danach das Logfile. Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.
__________________ |
|
29.11.2006, 08:53
| #4 |
| | Trojan.Link.optimizer Servus felix1, danke für die schnelle Antwort. Mein Problem besteht noch. Im abgesicherten Modus ohne Sytemwiederherstellung zeigt ewido keine Fehler an. F-Secure Blacklight kann ich nicht laden:Verbindung zurückgewiesen. Reinige noch das Logfile von unnötigen Infos/Daten u. poste es. Nochmals vielen Dank! PS: Logfile Logfile of HijackThis v1.99.1 Scan saved at 09:05:26, on 29.11.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\Explorer.EXE C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\a-squared Anti-Malware\a2guard.exe C:\Programme\a-squared Anti-Malware\a2wizard.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE C:\PROGRA~1\NETSCAPE\NETSCAPE\NETSCP.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - (file missing) (HKCU) O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll O12 - Plugin for .xml: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm O16 - DPF: ppctlcab - http://h**p://ppupdates.ca.com/downl...r/ppctlcab.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} - http://h**p://ppupdates.ca.com/downl.../axscanner.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h**p://update.microsoft.com/m...?1164290602750 O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - http://h**p://s***ne.dyndns.ws/activ...CamControl.cab O16 - DPF: {C14C9409-1E1B-4F00-94AD-70F055AA71B2} - http://w*w.t*******ne.com/wpa/tsb/2....t-2-7-0-45.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - http://h**p://as.*********t.de/ips-o...PSUploader.cab O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://h**p://download.abacast.com/d...basetup144.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.115 217.237.150.51 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Canon Camera Access Library 8 (CCALib8) - Unknown owner - C:\Programme\Canon\CAL\CALMAIN.exe (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe norton u. a-squared malware nicht aktiv nur AntiVir Danke S. Geändert von solay01 (29.11.2006 um 09:32 Uhr) Grund: Nachtrag Logfile |
|
29.11.2006, 19:30
| #5 |
| /// Helfer-Team | Trojan.Link.optimizer Bischen falsch verstanden. Ewido im Normalmodus laufen lassen. Das Log von Ewido von Einträgen zu Keksen befreien und dann das Log von Ewido posten 
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
|
30.11.2006, 09:36
| #6 |
| | Trojan.Link.optimizer Danke für den Tipp. Da der PC samt Innenleben nicht so wollte wie ich, habe ich alles neu aufgespielt und entsprechend abgesichert. Jetzt ist kein Fehler mehr vorhanden. Es waren vorher wohl wichtige Systemdaten beschädigt... Danke für die Hilfe. |
|
| Themen zu Trojan.Link.optimizer |
| aktivieren, antivirus, avira, avira antivir, dateien, ellung, fehler, firewall, gesperrt, guten, java, kleine, morgen, nicht mehr, norton, schutz, seite, seiten, sp2, t-online, test, trojaner, virenschutz, winxp, überhaupt, zugriff |
Linear-Darstellung
