|
Plagegeister aller Art und deren Bekämpfung: Advanced XP Defender auf HomepageWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2008, 19:03 | #1 |
| Advanced XP Defender auf Homepage Hallo, ich hoffe Ihr könnt mir Helfen. Also ich ahbe eine Homepage für mcih und meine BAnd. Vor drei Tagen bin ich drauf gegangen um einfach mal zu gcuken ob neue Gästebuch einträge und so da sind da kommt ne medlung von Advanced XP Defender. Ich mich sofort aufgeregt weil das ist nciht da serste mal das ich mal/spywear auf meinem PC hatte. Nur diesmal war das gar nicht auf meinem PC Advanced XP Defender ist irgend wie auf meiner Homepage drauf. Das ist auch nicht die ganze Zeit aber beim dritten oder vierten mal irgend was anklicken lädt der unten links (firefox) die seite: stat.AdvancedXPDefender. dann kommt die lästige Nachricht das mein PC ja soooo voll mit Viren ist blablabla Ihr kennt das bestimmt. Ich ahbe schon alles gelöscht und neu drauf gespielt auf den Webpsace aber das kommt irgend wie wieder. Oder kann es doch sein das ich den Scheiß auf dem PC habe ??? Über google kommt man irgend wie nur auf fragliche Seiten die angeblich Helfen wollen und die meist nur drauf ausgelegt sind das Advanced XP Defender auf dem PC ist deshalb melde ich mich hier. Danke schonmal im vorraus !!! |
15.06.2008, 19:06 | #2 |
| Advanced XP Defender auf Homepage Hi und
__________________Bitte erstelle als erstes ein HijackThis Logfile (falls etwas auf deinem System ist kann ich dir helfen, aber mit Viren auf Homepages kenne ich mich definitiv zu wenig aus um dir kompetente Hilfe zu leisten)
__________________ |
15.06.2008, 19:10 | #3 |
| Advanced XP Defender auf Homepage Okay hier ein HijackThis Log von meinem PC sacht ruhig bescheid wenn ihr noch anderen müll findet !!!
__________________Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:08:24, on 15.06.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\mysql\bin\mysqld-nt.exe C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\PAStiSvc.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\mmrtkrnl.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\svchost.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\Programme\Windows Live\Messenger\usnsvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing) O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1189296901234 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing) O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe (file missing) O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: MySql - Unknown owner - C:\mysql\bin\mysqld-nt.exe O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe (file missing) -- End of file - 9367 bytes |
15.06.2008, 19:15 | #4 |
/// TB-Ausbilder | Advanced XP Defender auf Homepage Hi, schick mir bitte mal als private Nachricht einen Link zu deiner Homepage, auf der du die Virenmeldung bekommen hast. lg myrtille
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly! |
15.06.2008, 19:17 | #5 | |
| Advanced XP Defender auf Homepage Müll habe ich gefunden und zwar nen solchen Müll das du unverzüglich Neuaufsetzen musst ntos.exe ist ein Teil eines Backdoors der ganz fiesen Sorte Nach dem du Neuaufgesetzt hast sollteste du alle deine Passwörter ändern
__________________ Kein Support per PN Zitat:
|
15.06.2008, 19:23 | #6 |
| Advanced XP Defender auf Homepage Och ist nicht wahr oder ... Fuck ey !!!! Naja aber danke hier noch mal mit dem problem der homepage ein Screen : EDIT: Also ich bin dann mal mein System Neuaufsetzen. Versucht mri aber bitte weiterhin zu helfen ^^ Danke !!! Müsste spätestens Dienstag Abend wieder Online sein können. Geändert von Alucard00 (15.06.2008 um 20:02 Uhr) |
15.06.2008, 20:09 | #7 |
/// Helfer-Team | Advanced XP Defender auf Homepage Hi, Vorher noch solltest Du die Homepage offline stellen. Ich kann sie mir zwar nicht anschauen (da ich nicht weiß wo sie ist), habe aber dennoch keinen Zweifel da dran, dass sie infiziert ist. Wenn Du sie von deinem PC aus hochlädst ist das logisch, ntos.exe greift das FTP-Passwort ab, schickt das an ein paar Bösewichter und die infizieren damit deine Seite. Die FTP-Logs wären sicher interessant, neulich war hier schon so ein Fall. Also: Homepage aus dem Netz nehmen (bevorzugt von einem andere Computer aus, dort auch das FTP-Passwort ändern). Computer neu installieren und dann Homepage neu hochladen. Vor dem hochladen alles im Webspace löschen, ansonsten könnte es passieren, dass eine PHP-Shell erhalten bliebt mit der der Zugriff auch ohne FTP-Passwort möglich ist. Gruß, Karl |
16.06.2008, 12:52 | #8 |
| Advanced XP Defender auf Homepage Also hab meinen PC jetzt neu Aufgesetzt. Hab auch die Page neu hochgeladen und das Problem besteht aber immer ncoh. Ich weis nciht was ich amchen soll kann es sein das auf dem Webspace irgedn was ist ??? Ich ahbe shcon alles gelöscht es klappt nicht. Danke ncoh mal ... |
19.06.2008, 18:47 | #9 |
| Advanced XP Defender auf Homepage Hi, ich habe leider das gleiche problem. Wie bist du nun vorgegangen Alucard00? Hatte ebenfalls mein system neu aufgesetzt und bin auf vista64 umgesattelt. Die infizierte index.html neu hochgeladen. Für einen tag schien die homepage dann sauber. Heute ist sie jedoch schon wieder infiziert. Geändert von frix (19.06.2008 um 19:14 Uhr) |
19.06.2008, 19:31 | #10 |
| Advanced XP Defender auf Homepage Hi, also ich habe es jetzt in den Griff bekommen. Ich habe alle Dateien mit FlashFXP gelöscht. Ich weis nicht warum, aber dieses Client löscht alles im Gegensatz zu Filezila, da habe ich manche Dateien nicht gelöscht bekommen. Dann die Page einfach ganze neu hochgeladen und seit dem geht es. Bis jetzt ist , Gott sei dank, noch nix wieder gekommen^^ !!! Danke aber noch mal an das Board, wer weis was mir alles mit diesem scheiß trojaner passiert wäre !!! |
Themen zu Advanced XP Defender auf Homepage |
advanced, alles gelöscht, angeblich, defender, einfach, einträge, firefox, gelöscht, google, homepage, klicke, klicken, links, lädt, melde, nachricht, neue, scheiß, schonmal, seite, seiten, sofort, soooo, viren, voll, xp defender |