Hi Leute,
ich hab ein seltsames Problem mit dem IE... er baut in unregelmäßigen abständen eine Internetseite auf, obwohl ich nur FF nutzte, mit der mir angeblich ein noch sicheres Programm angeboten wird zum Download als z.B. NortonAntivirus --> das Prog soll WinAntiSpy heißen... oder ich werde dazu animiert DriverCleaner zu downloaden, sorry ich hab gelogen... eine Seite öffnet sich auch im FF und zwar
winantivir
hier mal beide Internetaddressen vom IE:
DriveCleaner WinAntiSpyware
So dass sind nur ein paar der Seiten die aufgehen... kurz nach dem Aufbau der Seiten ertönt ein mir eigentlich total fremdgewordener Sound aus dem Rechner *düdüp* und schon sagt AntiVir hier haben wir einen Trojaner der sich im Temp-Ordner befindet (C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp). Da sag ich nun immer Löschen [Hab mir leider nicht gemerkt wie der heißt... kommt als edit beim nächsten mal erscheinen rein] und dann ist erstmal gut...
Nach unbestimmter Zeit kommt das selbe Spielchen wieder... und wieder... und und und....
Da hab ich mir gedacht schauste doch mal beim Temp-Ordner vorbei und guckst mal was da so vorsich geht... und hab erst mal alles an Temporären-Dateien gelöscht. Soweit so gut. Nun kam was kommen musste mein Fehler tritt wieder auf und eine Seite öffnet sich mit IE und siehe da im Temp ordner sind 2 neue Ordner da!!! Einmal
C:\Dokum~1\****\Lokale~1\Temp\e4j1A.tmp_dir5334 und dann noch
C:\Dokum~1\****\Lokale~1\Temp\hsperfdata_fulzzz. Da dacht ich mir mensch so einfach löscht du gleich mal und das Problem ist weg... ja Pustekuchen nix gelöst selber Fehler wieder und FAST gleiche Ordner wieder da... warum FAST weil sich die ZAHLEN ändern beim ersten Ordner. Achso und in den Ordner sind jeweils eine Datei drin... im ersten ist es exe4jlib.jar (bleibt gleich nur Ordner ändert ZAHLEN) und im zweiten einfach nur eine Datei ohne Endung mit immer wieder wechselnden ZAHLEN (dafür bleibt Ornder gleich).... ich komm nicht weiter hab Hijack laufen lassen = kein Ergebnis und Antivir = 1 gefunden TR/BHO.O.5 wollt ich in Quarantäne verschieben ging nich... hab keine Admin-Rechte (so ein schwachsinn bin Admin auf dem Com!?!?!) Hab dann auf Löschen nach Neustart gedrückt. War aber der erste Fund nach ca. 4 Suchläufen, "normaler" Weise hat er mir ja (wie oben schon gesagt) immer einen TR im Temp-Ordner angezeigt sobald Seite sich aufgebaut hat. Sonst beim Suchlauf nix... naja irgendwie seltsam
mfg fulzzz
----> THX FOR READING AND TRY TO HELP <-----
hier noch die Hijack-LOG:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 17:40:09, on 10.06.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\fulzzz\Eigene Dateien\_admin_\HijackThis.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD LT 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD LT 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD LT 2002 Deu\AcPreview.ocx
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
|
und das vom AntiVir:
Zitat:
AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 10. Juni 2007 18:43
Es wird nach 811858 Virenstämmen gesucht.
Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: fulzzz
Computername: FULZ
Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 22.04.2007 14:21:54
AVSCAN.DLL : 7.0.4.0 41000 Bytes 22.04.2007 14:21:54
LUKE.DLL : 7.0.4.11 143400 Bytes 22.04.2007 14:21:55
LUKERES.DLL : 7.0.4.0 10792 Bytes 22.04.2007 14:21:55
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.38.1.170 5569024 Bytes 21.05.2007 04:12:57
ANTIVIR2.VDF : 6.38.1.227 320000 Bytes 05.06.2007 17:08:05
ANTIVIR3.VDF : 6.38.2.11 82432 Bytes 09.06.2007 16:43:21
AVEWIN32.DLL : 7.4.0.32 2478592 Bytes 05.06.2007 17:08:05
AVWINLL.DLL : 1.0.0.7 14376 Bytes 22.04.2007 14:21:54
AVPREF.DLL : 7.0.2.1 24616 Bytes 22.04.2007 14:21:54
AVREP.DLL : 7.0.0.1 155688 Bytes 22.04.2007 14:21:55
AVPACK32.DLL : 7.3.0.10 360488 Bytes 03.06.2007 17:29:19
AVREG.DLL : 7.0.1.2 31784 Bytes 22.04.2007 14:21:54
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 22.04.2007 14:21:54
AVARKT.DLL : 1.0.0.17 278568 Bytes 12.05.2007 08:04:54
NETNT.DLL : 7.0.0.0 7720 Bytes 22.04.2007 14:21:55
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 22.04.2007 14:21:48
RCTEXT.DLL : 7.0.45.0 86056 Bytes 22.04.2007 14:21:48
Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Beginn des Suchlaufs: Sonntag, 10. Juni 2007 18:43
Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mantispm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OUTLOOK.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmplayer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winamp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Azureus.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundman.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht
Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '12' Dateien ).
Der Suchlauf über die ausgewählten Dateien wird begonnen:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\mojhcfgp.dll
[FUND] Ist das Trojanische Pferd TR/BHO.O.5
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Ende des Suchlaufs: Sonntag, 10. Juni 2007 19:15
Benötigte Zeit: 31:07 min
Der Suchlauf wurde vollständig durchgeführt.
4396 Verzeichnisse wurden überprüft
202335 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
202334 Dateien ohne Befall
752 Archive wurden durchsucht
4 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden
|
edit:\\ hier noch eine Seite die sich kurz nach erstellen des Threads geöffnet hat
SystemDoctor2006.. komisch war schon wieder im FF, sonst kam die immer im IE, kann das was damit zutun haben das ich die Seiten im IE gesperrt hat über "unsichere Seiten"
10.06.2007, 18:29
Linear-Darstellung
