| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Win32:Trojano-3384, Hilfe!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
02.07.2007, 14:55
| #1 |
| |  Win32:Trojano-3384, Hilfe! Hallo! Vor kurzem habe ich festgestellt, dass ich bei google-Suchanfragen erstmal auf Seiten weitergeleitet werde, die den angegebenen URLs nicht entsprechen. (Z.B. Suchbegriff "Banane", erster Link in der Auflistung war wikipedia, bei Anklicken Weiterleitung auf Ask.com oder andere Seiten). Habe ein bisschen im Internet herumgesucht und habe so erstmals von "Browser-Hijacking" gehört und einen LogFile mit HijackThis erstellt. Der ist dann auf ein einziges unbekanntes Programm/Ding gestoßen: "browserd.dll" im system32-Ordner. Das habe ich dann mit Virus total scannen lassen. Complete scanning result of "browserd.dll", received in VirusTotal at 07.02.2007, 13:05:40 (CET). Antivirus Version Update Result AhnLab-V3 2007.7.2.0 07.02.2007 Win-AppCare/Stud.9728 AntiVir 7.4.0.37 07.02.2007 ADSPY/Stud.D Authentium 4.93.8 06.29.2007 no virus found Avast 4.7.997.0 07.02.2007 Win32:Trojano-3384 AVG 7.5.0.476 07.01.2007 Adware Generic.WNV BitDefender 7.2 07.02.2007 Adware.Stud.I CAT-QuickHeal 9.00 06.30.2007 AdWare.Stud.d (Not a Virus) ClamAV devel-20070416 07.02.2007 Adware.BHO-15 DrWeb 4.33 07.02.2007 no virus found eSafe 7.0.15.0 06.30.2007 no virus found eTrust-Vet 30.8.3758 07.02.2007 no virus found Ewido 4.0 07.02.2007 Adware.Stud FileAdvisor 1 07.02.2007 no virus found Fortinet 2.91.0.0 07.02.2007 no virus found F-Prot 4.3.2.48 06.29.2007 W32/Adware.IJT F-Secure 6.70.13030.0 07.02.2007 no virus found Ikarus T3.1.1.8 07.02.2007 not-a-virus:AdWare.Win32.Stud.d Kaspersky 4.0.2.24 07.02.2007 not-a-virus:AdWare.Win32.Stud.d McAfee 5064 06.29.2007 no virus found Microsoft 1.2701 07.02.2007 Trojan:Win32/Webprefix NOD32v2 2368 07.01.2007 Win32/Adware.BHO.AA Norman 5.80.02 06.29.2007 W32/Stud.Y Panda 9.0.0.4 07.02.2007 no virus found Sophos 4.19.0 06.24.2007 MapKon Sunbelt 2.2.907.0 06.29.2007 no virus found Symantec 10 07.02.2007 Adware.Webprefix TheHacker 6.1.6.140 06.28.2007 Adware/Stud.d VBA32 3.12.0.2 07.02.2007 AdWare.Win32.Stud.d VirusBuster 4.3.23:9 07.01.2007 Adware.BHO.EC Webwasher-Gateway 6.0.1 07.02.2007 Ad-Spyware.Stud.D Aditional Information File size: 30022 bytes MD5: bbeebddb213c8e416d678ecd173862f7 SHA1: 938dd46ff4752542aad8fff67f54ae28f5a8a0de packers: UPX packers: UPX packers: UPX packers: UPX ___________________________ Habe mir anschließen noch avast runtergeladen und den Win32:Trojano-3384 isoliert, jetzt taucht er nicht mehr im hijack-log auf. Wie sollte ich jetzt weiter vorgehen? Muss ich jetzt alle meine Passwörter ändern? Konnte nirgends im Internet etwas darüber finden, was dieser Trojaner bewirkt! Es wäre super, wenn ihr mir helfen würdet! Viele Grüße kirsch.kaetzchen |
|
02.07.2007, 14:58
| #2 |
 |  Win32:Trojano-3384, Hilfe! Wie wäre es, wenn du deinen aktuellen HijackThis Log mal postest? damit man dir überhaupt helfen kann?
__________________
__________________ |
|
02.07.2007, 15:01
| #3 |
| Gast | Win32:Trojano-3384, Hilfe! Genau pste mal nen HJT-Log
__________________ |
|
02.07.2007, 15:17
| #4 |
  | Win32:Trojano-3384, Hilfe! Gucke Dir mal diesen thread an : http://www.trojaner-board.de/37797-i...netseiten.html Dort ist von Gc Sunny das Programm Avenger angegeben. Dort die Datei C:\WINDOWS\system32\browserd.dll eingeben und die Anleitung abarbeiten. |
|
02.07.2007, 15:45
| #5 |
| | Win32:Trojano-3384, Hilfe! Vielen Dank für eure schnelle Reaktion...! Hatte keinen log gepostet weil der betroffene Teil nicht mehr auftaucht, da ich ihn mit avast isoliert hatte. Aber wenn es hilft, gerne (kenne mich überhaupt nicht mit sowas aus...). Habe grade auch avenger ausprobiert, aber da konnte er die datei nicht mehr finden. Logfile of HijackThis v1.99.1 Scan saved at 16:33:25, on 02.07.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\avast\aswUpdSv.exe D:\avast\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE D:\AdAware\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\RTHDCPL.EXE D:\Player\Quicktime\qttask.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\avast\ashDisp.exe D:\avast\ashMaiSv.exe D:\avast\ashWebSv.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\***\Desktop\Downloads\avenger\avenger.exe D:\Hijackthis\HJT1991.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "D:\Player\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [avast!] D:\avast\ashDisp.exe O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\AdAware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - D:\avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - D:\avast\ashWebSv.exe" /service (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
|
02.07.2007, 16:02
| #6 |
  | Win32:Trojano-3384, Hilfe! Hallo du hast dir einen "relativ harmlosen" Werbeeinblender eingefangen, kannst du hier nachlesen --> Adware.Webprefix - Symantec.com aber Avast scheint ihn erlegt zu haben. Starte HijackThis mit der Option - do a system scan only - und hake diesen Eintrag an : O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) klicke nun auf - fix checked - und beende Hijackthis. Nach einem Neustart bitte per HijackThis kontrollieren ob der Eintrag auch gelöscht ist (wovon ich ausgehe). MFG |
|
02.07.2007, 16:38
| #7 |
| | Win32:Trojano-3384, Hilfe! ok danke, das Webprefix konnte ich fixen! Und wegen diesem "browserd.dll" mit dem Win32:Trojano-3384, das von avast isoliert wurde, ist jetzt unschädlich? oder war das falscher Alarm? Wie kommt das überhaupt, dass das eine Programm beim Überprüfen mit VirusTotal diesen Trojaner findet, ein anderes dann Webprefix?  |
|
02.07.2007, 16:49
| #8 | |
 | Win32:Trojano-3384, Hilfe! Hallo, Zitat:
Hat auch was mit Protzerei zu tun,oder anders ausgedrückt "Schwanzvergleich  Wer hat welche Signatur ,für welchen Virus zuerst...... Hilft beim "Werbung machen" für das eigene Produkt.... Irrlicht |
|
| Themen zu Win32:Trojano-3384, Hilfe! |
| adware, ask.com, browser-hijacking, defender, festgestellt, frage, helfen, hijackthis, hilfe!, internet, klicke, link, logfile, nicht mehr, not-a-virus, scan, schließen, seite, seiten, super, system, trojaner, update, virus, virus total, virustotal, weitergeleitet, weiterleitung, win32, ändern |
Linear-Darstellung
