|
Plagegeister aller Art und deren Bekämpfung: TR/Pish.Telekom.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
22.11.2004, 22:06 | #1 |
| TR/Pish.Telekom.A Hallo, seit gestern meldet sich immer mein "AnitVir XP" mit der Meldung, dass ich das Trojanische Pferd "TR/Pish.Telekom.A" hätte. Dieses habe ich dann von der Anwendung löschen lassen. Heute hatte ich dieses Teil gleich 15 mal im Cach (FireFox 1.0). Weiß von Euch jemand, was ich mir da eingefangen habe? Auf der Internetseite (AntiVir) steht auch nichts und Google brachte auch nichts zu Tage. Vielen Dank im voraus. R2D2_Space |
22.11.2004, 22:29 | #2 |
| TR/Pish.Telekom.A Hallo R2D2_Space,
__________________irgendwie erinnert mich das an diesen Thread ...Telekom.... Was machst Du gerade, wenn Du diese Meldung von AntiVir bekommst? Surfst Du --> keine anklickbare URL angeben oder öffnest Du gerade eMails? Erstelle bitte zunächst ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. SD |
22.11.2004, 22:40 | #3 |
| TR/Pish.Telekom.A Hallo,
__________________vielen Dank Shadowdance für deine schnelle Antwort. Wo, oder bei was ich mir den Trojaner eingefangen habe, weiß ich leider nicht. Hier nun das logfile Logfile of HijackThis v1.98.2 Scan saved at 22:39:46, on 22.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\0900WA~1\w0svc.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\LeechGet 2004\LeechGet.exe C:\Programme\Simplegrab 0.32\SimpleGrab.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Total Commander\TOTALCMD.EXE C:\WINDOWS\system32\notepad.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\DOKUME~1\Marco\LOKALE~1\Temp\_tc\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = SmartSurfer2000 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = SmartSurfer2000 O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0900WA~1\whelper1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray O4 - Global Startup: Simplegrab.lnk = C:\Programme\Simplegrab 0.32\SimpleGrab.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing) O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing) O9 - Extra 'Tools' menuitem: Artikel in den myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{FADF39BC-EA74-4163-A1ED-F4652384EDDE}: NameServer = 62.53.247.35 193.189.244.205 Gruß R2D2_Space |
22.11.2004, 23:00 | #4 |
| TR/Pish.Telekom.A Hi, haue zuerst mal das weg:O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE, danach alles rot/orange, natürlich abgesichert/ Systemwiederherstellung/blah, blah,blah, usw. ist nichts wirklich schlimmes, aber es nervt halt-> muß runter von der HD LG, Charlie Und in Zukunft, halt nicht alles anklicken, ja!
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
22.11.2004, 23:06 | #5 |
| TR/Pish.Telekom.A @R2D2_Space warum brauchst du 3 downloadmanager? chaosman
__________________ Bonus vir semper tiro |
22.11.2004, 23:20 | #6 |
| TR/Pish.Telekom.A Hi, so jetzt habe ich ersteinmal 2 von 3 DLM entfernt. Was sich alles so ansammelt R2D2_Space |
22.11.2004, 23:26 | #7 | |
Moderator, a.D. | TR/Pish.Telekom.AZitat:
Gruß Yopie |
23.11.2004, 06:39 | #8 |
| TR/Pish.Telekom.A Hi, danke Yopie für diesen Tip. Jedoch habe ich weder eine eMail von der Telekom bekommen, noch war ich auf einer Internetseite der Telekom. Gruß R2D2_Space |
23.11.2004, 12:46 | #9 |
| TR/Pish.Telekom.A Ja, dass ist ein stinknormaler Webdownloder, damit kann man jede Seite infizieren, ich könnte das auf meiner auch machen, dich da hin locken und wenn du sie anschaust, haste das Ding umsonst! Wenn dein System aber gut konfiguriert ist, kann so ein Müll nichts ausrichten, man muss halt ab und zu mal saubermachen, dass ist alles. Liebe Grüße, Charlie
__________________ Der Unterschied zwischen den Naturgesetzen und Murphy's Gesetz besteht darin, dass man bei den Naturgesetzen sicher sein kann, dass alles immer nach der geichen Methode schiefgeht. |
23.11.2004, 16:18 | #10 |
| TR/Pish.Telekom.A @ R2D2_Space, bitte überprüfe noch mit virusscan.jotti.dhs.org: C:\Programme\Simplegrab 0.32\SimpleGrab.exe teile uns das Ergebnis der Überprüfung mit. Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken): O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing) O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing) O9 - Extra button: myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing) O9 - Extra 'Tools' menuitem: Artikel in den myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing) wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen: (Häk'chen setzen und auf Fix Checked klicken): R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = SmartSurfer2000 boote in den normalen Modus. Aktiviere die Systemwiederherstellung. Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt? Erstelle dann auch noch ein weiteres Hijack This Logfile und poste es. SD |
Themen zu TR/Pish.Telekom.A |
anitvir, antivir, anwendung, eingefangen, firefox, g lösche, gefangen, gen, gestern, google, inter, interne, internetseite, löschen, melde, meldet, meldung, nichts, pferd, seite, space, troja, trojanische, trojanische pferd |