hallo. ich bekomme beim öffnen einer internetseite eine aufforderung die verbindng zum netzwerk zu erlauben weil der internet explorer geändert ist und eine dll geladen werden sol. was ist das denn? ein trojaner? ist das normal?

@markuspe

normal ist das nicht.
ich würde auf den firefox browser umsteigen, ist einfach sicherer.
downloade hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html
erstelle ein log, poste es mit copy and paste hier im board.



chaosman

das ist die meldung:



C:\WINDOWS\system32\mscms.dll

Um Die DLL-Authentifizierung zu deaktivieren, wechseln Sie zum Kartenreiter 'Sicherheit' im Menü: Werkzeuge, Optionen.

Dateiversion : 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
Dateibeschreibung : Internet Explorer
Dateipfad : C:\Programme\Internet Explorer\iexplore.exe
Prozess-ID : CBC (Heximal) 3260 (Dezimal)

Verbindungsursprung : lokal initiert
Protokoll : TCP
Lokale Adresse : 217.84.71.171
Lokaler Port : 1191
Remote-Name : client1.sigmachat.com
Remote-Adresse : 216.37.55.138
Remote-Port : 80 (HTTP - World Wide Web)

Ethernet-Paket-Details:
Ethernet II (Packet Length: 80)
Destination: 01-00-20-00-01-00
Source: 00-00-01-00-00-00
Type: IP (0x0800)
Internet Protocol
Version: 4
Header Length: 20 bytes
Flags:
.1.. = Don't fragment: Set
..0. = More fragments: Not set
Fragment offset:0
Time to live: 64
Protocol: 0x6 (TCP - Transmission Control Protocol)
Header checksum: 0x41be (Correct)
Source: 217.84.71.171
Destination: 216.37.55.138
Transmission Control Protocol (TCP)
Source port: 1191
Destination port: 80
Sequence number: 1915968254
Acknowledgment number: 0
Header length: 32
Flags:
0... .... = Congestion Window Reduce (CWR): Not set
.0.. .... = ECN-Echo: Not set
..0. .... = Urgent: Not set
...0 .... = Acknowledgment: Not set
.... 0... = Push: Not set
.... .0.. = Reset: Not set
.... ..1. = Syn: Set
.... ...0 = Fin: Not set
Checksum: 0x54ec (Correct)
Data (0 Bytes)

Binäres Abbild des Pakets:
0000: 01 00 20 00 01 00 00 00 : 01 00 00 00 08 00 45 00 | .. ...........E.
0010: 00 34 4B D3 40 00 40 06 : BE 41 D9 54 47 AB D8 25 | .4K.@.@..A.TG..%
0020: 37 8A 04 A7 00 50 72 33 : 5A FE 00 00 00 00 80 02 | 7....Pr3Z.......
0030: 7F FF EC 54 00 00 02 04 : 05 A0 01 03 03 00 01 01 | ...T............
0040: 04 02 74 74 69 63 6B 65 : 72 6D 73 67 73 3E 0A 3C | ..ttickermsgs>.<

@markuspe

kannst du HijackThis nicht downloaden



chaosman

Logfile of HijackThis v1.98.2
Scan saved at 20:29:19, on 23.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de
O16 - DPF: {AB294EC6-7ADA-11D4-9D5F-00B0D04BBD07} (msichat50 Client Control) - http://www.globalchat.com/custom/nat...nt/msichat.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77FA76-4E51-4F82-98C2-94A4661149AA}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D77FA76-4E51-4F82-98C2-94A4661149AA}: NameServer = 217.237.151.97 217.237.150.33

Zitat:

O4 - HKLM\..\Run: [NAV_Update] C:\NAV_Update.exe

Eine interessante Datei => Überprüfe diese Datei bei http://www.kaspersky.com/de/remoteviruschk.html
und poste das Ergebnis.

@markuspe


fixen, wenn du diesen datei nicht kennst.
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

ansonsten Cidre's rat auf jeden fall befolgen.

chaosman

das ist NORMAN-Antivirus. das aber nicht aktiviert ist. war bei windowsxp schon dabei. verwende aber kaspersky-antivir

@markuspe

hast du dein virenscanner schon in abgesicherten modus laufen lassen?

es wäre übrigens besser wenn du der firefox als browser benutzen würdest
http://firebird-browser.de/

wenn dein virenscanner nichts findet, downloade dann
http://www.trojaner-board.de/42731-escan-anleitung.html
und führe es genauso wie beschrieben durch.
falls du auch per ISDN verbunden bist, und dein virenscanner findet dialers, dann speichere die auf diskette.
bist du nur per DSL unterwegs, dann hast du damit keine probleme, es sei denn du hast ein kombi aus beide.

escan updaten,dann in abgesicherten modus laufen lassen,
dann mit HJT einneues log erstellen, und hier wieder posten

chaosman

nun. irgendwie steht nichts da das es laufen würde und wie kann man das programm updaten? wie bringe ich das prog zum laufen? die beschreibung sagt mit nichts da ich auf de sektor ein noob bin

Da du Kaspersky verwendest benötigst du nicht eScan, da eScan die Kaspersky-Signaturen verwendet.

Dies kannst du mit HijackThis fixen:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

und wie fixe ich es?

Setze im Programm HijackThis ein Häckchen von den von mir genannten Einträgen und klicke auf "Fix checked".