Trojaner Virus-->"Free remot security scanner FRSS v2.4"

neo_morpheus · 16.11.2004, 18:03

hallo leutz,

bei mir hat sich ein trojaner, virus od. irgendetwas anderes eingeschlichen...

folgendes:
wenn ich für kurze zeit nichts am pc arbeite, öffnet sich der i-netexplorer(bis zu 60x) mit folgender überschrift:
"Free remot security scanner FRSS v2.4"
mit folgendem inhalt:

Scanning TCP ports opened by Spyware programs......... 8541 7605 5753 12506
Opened ports found......... possible to scan your system
Your IP address: 193.228.212.116
Your application: Microsoft Internet Explorer
Your user agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Your language: de
Your processor family: x86
Scanning Microsoft Internet Explorer cache......... done
Scanning Microsoft Internet Explorer history.... done
Scanning type-in history..... done
Scanning deleted files............ done

Scanning Internet History..... done
Words found: forced sex, whores, Black Teensex Movies, violent rape, latex and fetish sex, dady rapes little doughter, tired little ass, anal sex, adult movies, teen orgy, dady rapes little doughter, Teen Sucks Hard, rape, interracial sex movies, young lesbians, hard sex, huge cocks, anal sex, young lesbians, young gays, interracial group sex, rape, Live Sex Cam Girls, forced sex, fuck, young lesbians, fetish sex, fuck pregnant, incest sex, cute blonde fucking, violence sex, xxx video, brutal fuck, cumshot pix, teen orgy, sluts ... 790 words in total.

Searching for privacy protection and spyware removal software... not found.

Conclusion: It is recommended to install any anti-spyware software.

More information about Spyware Uninstall

im windows tastmanager öffnet sich mit jedem fenster ein neuer task "ipxroutex.exe" welcher auch weiterhin läuft wenn man das i-netexplorer fenster schließt.
ich habe es schon mit spybot versucht. dieser fand einiges konnte aber das problem nicht beheben.
hier mein logeintrag von hijackthis(abgesicherter modus):

Logfile of HijackThis v1.97.7
Scan saved at 17:40:38, on 16.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\### PublicData ###\Trojaner_Scanner\HiJackThis\entpackt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://intranet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = (!!! V E R S T E C K T !!!)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 21.*.*.*;<local>
O2 - BHO: (no name) - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: A925 Connection Manager.lnk = ?
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=hxxp://intranet
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - hxxp://intranet/service/vorlagen/msotd.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\Software\..\Telephony: DomainName = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)

Haui45 · 16.11.2004, 18:39

Bitte ein Log mit der aktuellen Version 1.98.2 von HjT posten (www.Hijackthis.de -> Direktdownload)

neo_morpheus · 17.11.2004, 08:15

hi

so hier nun das logfile der aktuellen HijackThis version:

Logfile of HijackThis v1.98.2
Scan saved at 07:50:25, on 17.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\### PublicData ###\Trojaner_Scanner\HiJackThis\entpackt\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://intranet
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://intranet
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = (!!! V E R S T E C K T !!!)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 21.*.*.*;<local>
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program Files\TechSmith\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\msacmx.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NDPS] C:\WINDOWS\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [ZENRC Tray Icon] C:\WINDOWS\System32\zentray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: A925 Connection Manager.lnk = ?
O4 - Global Startup: A925 Task Scheduler.lnk = ?
O4 - Global Startup: InterCheck Monitor.LNK = C:\Program Files\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O14 - IERESET.INF: START_PAGE_URL=hxxp://intranet
O16 - DPF: {5B27C20D-FFB6-4054-BA78-DE4A059BC75A} (Microsoft Office Template Downloader) - hxxp://intranet/service/vorlagen/msotd.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\Software\..\Telephony: DomainName = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = (!!! V E R S T E C K T !!!)

thx

pls hlp

neo

neo_morpheus · 17.11.2004, 17:14

.... nach oben heb...

hat den keiner das gleiche problem, oder kann mir helfen?

so long

neo

17.11.2004, 17:29

Sende die Datei C:\WINDOWS\System32\msacmx.dll an partytime-germany.ice@web.de
Danach lösche sie im abg. Modus.

Fixe nun dies mit HijackThis:

O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\msacmx.dll

Dann ist das Zeug weg.

17.11.2004, 17:29	#5
Christian Gast	Trojaner Virus-->"Free remot security scanner FRSS v2.4" Sende die Datei C:\WINDOWS\System32\msacmx.dll an partytime-germany.ice@web.de Danach lösche sie im abg. Modus. Fixe nun dies mit HijackThis: O2 - BHO: (no name) - {85CBFDE0-B26B-4EE5-BD3C-4DE111DE763E} - C:\WINDOWS\System32\msacmx.dll Dann ist das Zeug weg.

Trojaner Virus-->"Free remot security scanner FRSS v2.4"

Plagegeister aller Art und deren Bekämpfung: Trojaner Virus-->"Free remot security scanner FRSS v2.4"