|
Log-Analyse und Auswertung: destkop wird überdecktWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
04.07.2004, 17:21 | #1 |
| destkop wird überdeckt Moin Leute erstmal ein Lob für eure Site, gefällt mir wirklich gut und ist vor allem leicht verständlich Nun zu meinem Problem : Vor einiger Zeit musste ich mit dem IE explorer die Active X Steuerelemente aktivieren, um etwas von fileplanet runterzuladen, ich habe das auch gemacht, nur habe ich sie danach nicht wieder deaktiviert. Und nun obwohl eigentlich Opera mein Standard-Browser ist, war ich mal wieder mit dem IE unterwegs und Schwupps tausende Fenster öffnen sich und ich werde immer wieder aufgefordert irgendnen Müll runterzuladen . Natürlich habe ich nichts bestätigt, aber dennoch hat es wohl ein Programm geschafft sich einzuschmuggeln. Nun ist folgendes passiert : Zwischem dem Destkop und den Symbolen, hat sich so ein hässliches Bild festgesetzt, dass als Art Link dient . Da steht der ganze bekannte Müll vonwegen "You're in danger" usw drauf . Klicke ich darauf, öffnet sich mit Opera eine Seite zu soner Antispy Software . Mit Opera habe ich also sonst keine Probleme, anders wars mitm IE. Der hat gestern willkürlich eine Startseite festgelegt und mich auf ne Pornoseite verlinkt, als ich irgendeine Url eingegeben habe . Das Problem wurde jedoch schön gelöst, nachdem ich sämtliche Tools von eurer Seite ausprobiert habe . Was allerdings geblieben ist, ist das schon beschriebene Fenster aufm Destkop(was wirklich nervig ist) und außerdem steht unter der Liste der installierten Software in Windows eine Ad&Spyware, die sich nicht deinstallieren lässt, stattdessen öffnet sich der IE wieder mit einer Seite zu einer Antispyware software . Nun, ich habe jetzt Antivir durchlaufen lassen, der mittlerweile nichts mehr findet . Escan habe ich im abgesicherten Modus durchlaufen lassen, der hat einige Trojaner gefunden . Mein Hijackthis-Log habe ich auf http://www.hijackthis.de/index.php überprüfen lassen und die entsprechenden Einträge gefixt . Systemwiederherstellung wurde auch schon längst deaktiviert, aber diese scheiss Fenster aufm Destkop geht einfach nicht weg, mit jedem Neustart öffnet es sich . Was sonst auch nicht stimmt : Mein Hijackthis-Log hatte eine Explorer.exe in Windows/System32 angezeigt . Laut dieser Url http://www.heise.de/security/artikel/print/44203 weisst das auf eine Variante von MyDoom hin . Ich habe daraufhin die explorer.exe in der Prozessliste gestoppt und die File manuell gelöscht . Antivir hat komischerweise kein Mydoom gefunden. Jetzt bin ich mit meinem Latein am Ende und ich hoffe ihr könnt mir weiterhelfen, denn ich möchte ungerne meine Platte formatieren, ich habe nämlich ein Laptop und wie mir jemand sagte, ist es da mit der Neuinstallation nicht so einfach wie bei einem normalen Destkop Pc. Hier nochmal mein Hijackthis-Log, vielleicht wisst ihr ja, was noch gefixt werden muss . Achja eine Frage noch : Was genau sind das eigentlich für Sachen, die Hijack scant ? MfG Logfile of HijackThis v1.98.0 Scan saved at 18:20:46, on 04.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\EzButton\CPLBTS88.EXE C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\Wireless\IEEE802.11b WLAN Card Utility\WLPCCfg.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Apoint2K\Apntex.exe C:\Dokumente und Einstellungen\bla\Eigene Dateien\hijackthis\HijackThis.exe C:\Programme\Opera7\opera.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - Global Startup: IEEE802.11b WLAN Card Utility.lnk = C:\Programme\Wireless\IEEE802.11b WLAN Card Utility\WLPCCfg.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_42.cab |
06.07.2004, 07:54 | #2 |
| destkop wird überdeckt so, vielleicht guckt ja nochmal jemand hier rein und kann mir bei folgendem Problem weiterhelfen :
__________________Nachdem ich das oben genannte Bild über dem Destkop beseitigen konnte, steht nur noch die Ad&Spyware Software in der Softwareliste, hinzu kommt die Analyse vom Spybot, der spuckt das hier aus : Avenue A, Inc.: Verfolgender Cookie (Opera 7: bla) (Cookie, fixed) DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed) HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed) HKEY_USERS\S-1-5-21-3761404097-1721288593-3197055479-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed) HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3 --- Spybot - Search && Destroy version: 1.3 --- 2004-05-12 Includes\Cookies.sbi 2004-05-12 Includes\Dialer.sbi 2004-05-12 Includes\Hijackers.sbi 2004-05-12 Includes\Keyloggers.sbi 2004-05-12 Includes\LSP.sbi 2004-05-12 Includes\Malware.sbi 2004-05-12 Includes\Revision.sbi 2004-05-12 Includes\Security.sbi 2004-05-12 Includes\Spybots.sbi 2004-05-12 Includes\Tracks.uti 2004-05-12 Includes\Trojans.sbi Allerdings sind diese Probleme, nach jedem neuen Durchlauf vom Spybot wieder da . Auch im abgesicherten Modus scheint er die nicht beheben zu können . Hat sonst jemand einen Rat ? |
06.07.2004, 14:58 | #3 |
| destkop wird überdeckt der dso-exploit ist in der form offenbar ein bug von spybotsd und wurde hier auch schon mehrfach angesprochen.
__________________hier eine gute erklärung: http://forums.net-integration.net/in...howtopic=15905 (link originally posted by *Christian* ) aber zur sicherheit kannst du ja auch mal mit adaware gegenscannen . gruß, Cassandra
__________________ |
08.07.2004, 08:28 | #4 |
| destkop wird überdeckt Moin ich habe noch folgendes problem : diese drei einträge O2 - BHO: (no name) - {33FE1B06-EA45-7DB5-8751-115579A52C19} - C:\WINDOWS\System32\gxebtxwc.dll O2 - BHO: (no name) - {3CAD475A-EA43-7DEC-8751-115579A52C1B} - C:\WINDOWS\System32\pmrqe.dll O2 - BHO: (no name) - {6EAB1B06-EC41-7DE5-8751-115579A52C1B} - C:\WINDOWS\System32\kzq.dll lassen sich mit HijackThis nicht fixen . die logfileauswertung sagt, die programme seien unbekannt, daraufhin habe ich sie auf kaspersky prüfen lassen und sie scheinen clean zu sein . will ich sie aber fixen, erscheint ein error . |
08.07.2004, 09:59 | #5 | |
| destkop wird überdecktZitat:
Gruß paff Geändert von paff (08.07.2004 um 12:04 Uhr) |
08.07.2004, 21:02 | #6 |
| destkop wird überdeckt Hallo paff Hijackthis sagt folgendes, wenn ich versuche, die genannten Einträge zu fixen: An unexpected error has occurred at procedure: cmdFix_Click() Error #75 - Path/File access error (25 items in results list) Please email me at merijn@spywareinfo.com, reporting the following: * What you were doing when the error occurred * How you can reproduce the error * A complete HijackThis scan log, if possible Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2800.1106 HijackThis version: 1.98.0 This message has been copied to your clipboard. |
08.07.2004, 21:36 | #7 | |
| destkop wird überdeckt @seki kannst du mir die 3 Dateien mal gezippt schicken an mike_hangover@gozomail.com (Meine FakeEMail) Zitat:
http://www.rokop-security.de/main/onlinescan.php Kaspersky kannst du auslassen Leider ist die Version 1.98.0 von HijackThis etwas buggy, probier mal die Version v1.97.7 zu kriegen und dann die Einträge zu fixen. Ich kann dir die Version auch schicken wenn du willst. Gruß paff |
Themen zu destkop wird überdeckt |
abgesicherten modus, adobe, antispyware, antivir, avg, bho, einstellungen, ellung, explorer, frage, hijack, ie explorer, immer wieder, internet, internet explorer, meinem, neustart, opera, outlook express, problem, programm, programme, rojaner gefunden, rundll, software, spyware, trojaner, trojaner gefunden, träge, userinit.exe, windows, windows xp, wlan, öffnet |