so. vorhin habe ich wieder einmal - auf meinem sonst sauberen xp-system - einen dummen fehler begangen. ich bekam ein popup, das mir vorschlug, activeX upzudaten und automatisch den "activeX 2008 codec" herunterzuladen. nachdem dies geschehen war, stellte ich zuerst fest, dass nichts dergleichen im software-bereich oder im programme-ordner zu finden war. des weiteren haben sich seitdem drei symbole in der schnellstartleiste eingenistet: ein roter kreis mit einem weissen x darin, ein gelbes dreieck mit einem ausrufezeichen und ein grüner kreis, der halb von einem kreis mit ausrufezeichen darin eingeschlossen ist. selbige symbole bringen immer wieder die meldung, mein system wäre infiziert, ich solle anti-spyware-tools laden usw. und haben den internet explorer bereits komplett lahm gelegt.

hijackthis hatte bisher nichts gefunden, der spybot kann die ursache ebenfalls nicht entdecken und der spyware-doctor findet zwar so einiges, wenn es aber an die bereinigung geht, startet das system einfach neu.

wäre um hilfe bezüglich der entfernung oder identifizierung dieser schädlinge sehr dankbar und sollte irgendwas benötigt werden (bestimmte logs, andere infos), einfach melden

Klingt nach Zlob, schlecht....

Zur Verfizierung kannst Du ja ein HJT-Log posten, (Link in meiner Signatur), bitte vor dem Posten editieren (1. Link meiner Sig)

okay, hier mal meine hjt-logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:54:33, on 04.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\PnkBstrA.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\System32\NVRTCLK\NVRTClk.exe
O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\System32\drvnoz.dll,startup
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\System32\drvhit.dll,startup
O4 - HKLM\..\Run: [24ab6822] rundll32.exe "C:\WINDOWS\System32\cgqnicbc.dll",b
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DW4] "C:\Programme\The Weather Channel FW\Desktop Weather\DesktopWeather.exe"
O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\System32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe

--
End of file - 4163 bytes

Da brauch ich gar nicht lange zu gucken, SP2 fehlt.......

Warum?

Zitat:

so. vorhin habe ich wieder einmal - auf meinem sonst sauberen xp-system - einen dummen fehler begangen.

Bei dem Patchstand kann das System so *sauber* sein wie es will, Du schickst Malware eine gravierte Einladung, Deinen PC doch bitte zu infizieren.

Format C: ist angesagt, nichts sonst!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\System32\drvnoz.dll,startup
O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\System32\drvhit.dll,startup
O4 - HKLM\..\Run: [24ab6822] rundll32.exe "C:\WINDOWS\System32\cgqnicbc.dll",b
         

Bei VirusTotal kannste das hochladen lassen, was aber nichts an der Verseuchung ändert.

*kopfschüttel*

habe nun das programm "smitfraud" verwendet und wie es aussieht, hat es geklappt - die symbole sind weg und der internet explorer funktioniert auch wieder wie vorher

Hallo,

Zitat:

und wie es aussieht

So sieht es aber nur für dich aus...

Zitat:

die symbole sind weg und der internet explorer funktioniert auch wieder wie vorher

...und das läßt dich nun glauben ,daß alles in Butter ist ?

Den hier finde ich viel "heißer"...

Zitat:

O4 - HKCU\..\Run: [ieupdate] "C:\WINDOWS\system32\ieupdates.exe"

...wie noch so einiges auf deiner Kiste glüht........

Nicht das es mich wirklich intressieren würde.....aber wieso fehlt bei dir das Service Pack 2 bzw.welche faule Ausrede hast du ?
Sollten wir davon ausgehen das du dich vor einer Entdeckung durch MS fürchtest ?
Irrlicht

Zitat:

Zitat von irrlicht

So sieht es aber nur für dich aus...

richtig, denn jetzt sind sie wieder da bzw. das problem ist bisher noch nicht gelöst ...

Zitat:

Den hier finde ich viel "heißer"...

klärst du mich auf, bitte?

Zitat:

...wie noch so einiges auf deiner Kiste glüht........

z.B.?

Zitat:

Nicht das es mich wirklich intressieren würde.....aber wieso fehlt bei dir das Service Pack 2 bzw.welche faule Ausrede hast du ?
Sollten wir davon ausgehen das du dich vor einer Entdeckung durch MS fürchtest ?
Irrlicht

entdeckung durch MS? nein ...hatte bisher einfach noch keinen stand drauf, das zu laden bzw. bin mir nicht bewusst, was es mir bringen kann. auch hier bitte ich um aufklärung

Hallo,

es ist doch alles gesagt. Setze Dein System neu auf nach dieser http://www.trojaner-board.de/12154-a...sicherung.html

Besorge Dir das SP2 bevor Du das erste mal online gehst und spiele es offline auf und anschliessend online sofort alle Folgeupdates (das sind glaub ich so an die Hundert).

Falls du nicht im Besitz einer legalen XP- Lizens bist musst Du halt so ca. 70€ investieren

Gruß

Jaipur