Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Seiten werden nicht angezeigt (https://www.trojaner-board.de/36846-seiten-angezeigt.html)

Misty 06.03.2007 14:01

Seiten werden nicht angezeigt
 
Hallo,
nachdem mein PC (WinXP SP2) einige Zeit zicken machte (ominöses Benutzerkonto "Adminestrator" mit eingeschränkten Rechten und mein Browser [Maxthon] stürze dauernd ab), dachte ich mir, dass es nur ein Trojaner/ Virus /whatever sein kann. Also lub ich mir die Testversion von AVG herunter und machte einen Scan aller Partitionen, er fand auch so einiges, darunter I.Worm/Bagle, ein namentlich nicht genannter Trojaner und einiges an Adware. Das gefundene kam in Quarantäne und wurde anschließend gelöscht. Das war die Vorgeschichte.
Nun zu meinem eigentlichen Problem:
seitdem kann ich nicht mehr ins Internet, das heißt, mit der TCP/IP-Verbindung einwählen kann ich mich noch, aber das war auch schon alles. In sämtlichen Browsern (IE, Opera und Firefox) bekomme ich alternativ "Die Seite kann nicht angezeigt werden", "Server nicht gefunden" oder auch "Keine Seite zum anzeigen". Mit der T-Online-E-Mail-Software kann ich auch keine E-Mails mehr abrufen, er übernimmt zwar die Verbindung, aber wenn ich Mails abholen will kommt nur eine Fehlermeldung.

Kann es sein, dass irgendeine wichtige Datei von AVG in Quarantäne gesteckt und dann von mir gelöscht wurde? Wenn ja - gibts ne Möglichkeit rauszukriegen was fehlt?

Schonmal danke im voraus!

-Misty

Franz1968 06.03.2007 15:31

Hallo,
das klingt nicht gut. Es gibt Bagle-Varianten mit Backdoor-Funktionalität. Möglicherweise steht dir ein Neuaufsetzen deines Systems ins Haus.

Mein Vorschlag: Du postest ein HijackThis-Logfile. Dann kann man Genaueres sagen.

Misty 06.03.2007 15:58

Zitat:

Zitat von Franz1968 (Beitrag 257042)
Hallo,
das klingt nicht gut. Es gibt Bagle-Varianten mit Backdoor-Funktionalität. Möglicherweise steht dir ein Neuaufsetzen deines Systems ins Haus.

Mein Vorschlag: Du postest ein HijackThis-Logfile. Dann kann man Genaueres sagen.

Neuaufsetzen des Systems? *schluck*

Im Anhang das Hijackthis-Log.

-Misty

EDIT: Kann das mein Problem sein?:
h**p://www.pctipp.ch/helpdesk/kummerkasten/archiv/internet/20351.asp ?

Misty 06.03.2007 17:53

Sorry für den Doppelpost, aber der Editieren-Button ist nicht da (?). Das mit WebHancer scheint das Problem zu sein. Das Blöde ist: ich krieg das Ding nicht weg. Immerhin komme ich ins Internet wenn das Ding installiert ist. Poste gerade vom befallenen Rechner.
Wie sieht mein Hijackthis-Log ansonsten aus? Nochwas schlechtes drin?
Und was könnte WebHancer noch anrichten? Wäre es eine Option das Dingen draufzulassen?

Danke für die bisherige Hilfe und nochmal danke im voraus!

-Misty

EDIT: Den Post kann ich jetzt editieren...

Franz1968 06.03.2007 20:26

Hallo,
Zitat:

Sorry für den Doppelpost, aber der Editieren-Button ist nicht da (?).
Der verschwindet eine Stunde nach dem Posten. :)
Zitat:

Das mit WebHancer scheint das Problem zu sein.
Dem Artikel, den du gepostet hast, nach zu urteilen könnten deine Verbindungsprobleme damit zu tun haben. Aber das ist leider nicht dein einziges Problem, du hast einiges an Schad-Software auf deinem Rechner versammelt. Ich greife aus deinem Log mal was heraus:
Zitat:

O4 - HKLM\..\Run: [xmuourdi] C:\WINDOWS\system32\bjdxdlob.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\webhdll.dll' missing
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=dd07abb74a38417675be5c300eb93defe0a0b9b706d24c9f34e61b29b999af51cdc2b99d118b4f2289e28ffe30717ffe07d7c66063dfe2da747bad8da4f73c87: 6b55d2279195f1d477330495fb00c2db
All das sieht nicht vertrauenerweckend aus. Der Eintrag "Broken Internet Access..." dürfte mit Webhancer zusammenhängen und für dein - vordergründiges - Problem verantwortlich sein, und hier
Zitat:

O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O20 - Winlogon Notify: mloader32 - mloader32.dll (file missing)
saß vermutlich Bagle.
Du kannst Folgendes versuchen: Diese Dateien
Zitat:

O4 - HKLM\..\Run: [xmuourdi] C:\WINDOWS\system32\bjdxdlob.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
bei Virustotal scannen lassen und das komplette Ergebnis hier posten sowie versuchen, Webhancer mit Ad-Aware zu entfernen.
Ich kann dir dazu aber nicht raten. Denn
1. habe ich mit Ad-Aware noch keine Erfahrung gemacht (ich beziehe mich nur auf den Artikel, den du gepostet hast, und in dem der Ad-Aware-Hersteller angibt, Webhancer zuverlässig zu entfernen)
2. würde mir persönlich Bagle viel größere Kopfschmerzen bereiten, da meines Wissens man allein anhand der .dlls nicht entscheiden kann, welche Bagle-Variante auf deinem System war und ob somit eine Backdoor installiert ist/war oder nicht.

Fazit: Wäre es mein Rechner, würde ich neu aufsetzen. Aber es ist nicht meiner. Du musst entscheiden. :)

Misty 06.03.2007 21:58

Hallo.

Zum Edit-Button: Danke!

Zu WebHancer: Der ist mittlerweile erledigt.

Zu Bagle: Ja, da saß es drin.
Hm, bei Bagle stand nochmas mit "J", hilft das?

Zu den beiden Dateien, die du mir zum Scannen empfohlen hast: Die gibts laut System nicht und Hijackthis findet sie auch nicht mehr!? Soll ich ein neues Log posten?

Zum neu aufsetzen: Das Blöde ist, dass ich mich das nicht so recht selbst traue mit XP und es ist ja auch recht Zeitaufwändig... Also wirklich nur als letzter Ausweg.

Ich danke dir auf jeden Fall für deine Hilfe!

-Misty

Franz1968 06.03.2007 22:17

Zitat:

Zu WebHancer: Der ist mittlerweile erledigt.
Na dann: Waidmanns Dank. :D Was hast du gemacht?

Zitat:

Hm, bei Bagle stand nochmas mit "J", hilft das?
Hm. Wie gesagt, ich bin skeptisch. Gibt es eine Logdatei deines Virenscanners? Wenn ja, poste sie.

Zitat:

Zu den beiden Dateien, die du mir zum Scannen empfohlen hast: Die gibts laut System nicht und Hijackthis findet sie auch nicht mehr!? Soll ich ein neues Log posten?
Hast du versteckte Dateien sichtbar gemacht? Wenn nicht, nutze Rene-gads Anleitung.
Wenn das nicht hilft, poste bitte ein neues Hijackthis-Log (bitte nicht als Anhang, sondern direkt in deinen Beitrag kopieren). Möglich, dass die Dateien nach einem Neustart anders heißen.
Zitat:

Zum neu aufsetzen: Das Blöde ist, dass ich mich das nicht so recht selbst traue mit XP und es ist ja auch recht Zeitaufwändig... Also wirklich nur als letzter Ausweg.
Ich möchte dir da keine Hoffnungen machen. Übrigens: Auch eine Bereinigung kann sehr zeitaufwändig sein.

Misty 06.03.2007 23:04

Zu WebHancer: Ad-Aware fand das Ding anscheinend erlegenswert... (übrigens nur die in dem Artikel angegebene Version, mein "normales" Ad-Aware fand das Dingen nicht)

Zu Bagle: Leider gibts keine Log-Datei, da ich AVG mittlerweile wieder deinstalliert habe (und die in Quarantäne befinlichen Daten gelöscht), da ich angenommen habe, die Probleme mit dem Internet rührten von da her (Tipp von jemandem, von wegen AVG würde da was blockieren...)

Zu den beiden Dateien: sind gefunden und über die Website geprüft, einhellige Meinung: "no virus found".

Trotzdem mal ein neues Log:
Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 22:53:38, on 06.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOINTGR.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Maxthon\Maxthon.exe
C:\Dokumente und Einstellungen\Nadine\Eigene Dateien\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Dokumente%20und%20Einstellungen/***/Eigene%20Dateien/Eigene%20Webs/Meine%20pers%F6nliche%20Startseite-Dateien/Startseite.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456F-848A-3B75BF7554D7} - (no file)
O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll (file missing)
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL (file missing)
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: MSN Search Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.01.0000.2214\en-us\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: MSN Search Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.01.0000.2214\en-us\msntb.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Windows Desktop Search.lnk = C:\Programme\MSN Toolbar Suite\DS\02.02.0000.1007\en-us\bin\WindowsSearch.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: &MSN Search - res://C:\Programme\MSN Toolbar Suite\TB\02.01.0000.2214\en-us\msntb.dll/search.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit Net Transport herunterladen - C:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Open in new background tab - res://C:\Programme\MSN Toolbar Suite\TAB\02.02.0000.1007\en-us\msntabres.dll/229?7122826d9e274256b1fee2dc3a2d856
O8 - Extra context menu item: Open in new foreground tab - res://C:\Programme\MSN Toolbar Suite\TAB\02.02.0000.1007\en-us\msntabres.dll/230?7122826d9e274256b1fee2dc3a2d856
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ2\ICQ.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - h**p://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_1.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - h**p://www.ipix.com/download/ipixx.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - h**p://public.windupdates.com/get_file.php?bt=ie&p=dd07abb74a38417675be5c300eb93defe0a0b9b706d24c9f34e61b29b999af51cdc2b99d118b4f2289e28ffe30717ffe07d7c66063dfe2da747bad8da4f73c87: 6b55d2279195f1d477330495fb00c2db
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - h**p://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/09811597cbe968175605/netzip/RdxIE601_de.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - h**p://static.35mb.com/applet/applet_y.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DAF573C5-0332-4E2B-8D0C-67263B63805F} (EWPLaunchCtrl Class) - h**p://webprint.epson.jp/mypage5/app/ewp_launch.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?323
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB3B901F-55C8-4415-AA1A-32279F3D2C55}: NameServer = 217.237.150.188 217.237.151.142
O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O20 - Winlogon Notify: mloader32 - mloader32.dll (file missing)
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater (navi) - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
-Misty

EDIT: Das einzige, was ich mich frage ist: wie ist Bagle auf mein System gekommen? Ich hab mal recherchiert und überall heißt es, dass sich das Ding per E-Mail verbreitet. Aber: ich öffne prinzipiell nur dann Dateianhänge, wenn ich explizit einen erwarte. Und Mails lasse ich auch nur auf meinen Rechner wenn ich eine erwarte...

MightyMarc 07.03.2007 01:29

Zitat:

Zitat von Franz1968 (Beitrag 257085)
Zitat:

O20 - Winlogon Notify: ldr64 - ldr64.dll (file missing)
O20 - Winlogon Notify: mloader32 - mloader32.dll (file missing)
saß vermutlich Bagle.
Du kannst Folgendes versuchen: Diese Dateien

Bagle kann man wunderbar an dem Rootkittreiber erkennen. Blacklight hilft da weiter.

Misty 07.03.2007 02:21

Zitat:

Zitat von MightyMarc (Beitrag 257110)
Bagle kann man wunderbar an dem Rootkittreiber erkennen. Blacklight hilft da weiter.

Danke, hab ich gleich mal durchlaufen lassen, er wurde fündig:
Hidden process: C:\WINDOWS\9129837.exe
Hidden file: C:\WINDOWS\9129837.exe
Hidden file: c:\WINDOWS\NEW_DRV.SYS
Sind wohl beides Trojaner (vielleicht Reste von dem von AVG gekillten Viechern?). Sonst gabs nichts, nachdem ich die beiden entfernt habe wird jetzt nichts mehr gefunden.
Gutes Zeichen? Kein Bagle mehr da? *hoff*

-Misty

MightyMarc 07.03.2007 02:32

Zitat:

Gutes Zeichen? Kein Bagle mehr da? *hoff*
Bagle lässt sich im Normalfall nicht so einfach löschen. Nach einem Neustart sollte alles wieder wie vorher sein.

Die saubere Variante wäre, Windows neu zu installieren. Nur wenn in Deinem Bekanntenkreis wirklich niemand zu finden ist, der Dir dabei helfen könnte, solltest Du eine Bereinigung in Betracht ziehen. Es sieht nach einer neuen Bagle-Variante aus und weiss der Geier was das Ding alles mit sich bringt.

Du musst Dich also zwischen einem scheinbar sauberen und einem wirklich sauberen System entscheiden. Mit letzterem schläft man deutlich besser.

Misty 07.03.2007 02:51

Zitat:

Zitat von MightyMarc (Beitrag 257117)
Bagle lässt sich im Normalfall nicht so einfach löschen. Nach einem Neustart sollte alles wieder wie vorher sein.

Die saubere Variante wäre, Windows neu zu installieren. Nur wenn in Deinem Bekanntenkreis wirklich niemand zu finden ist, der Dir dabei helfen könnte, solltest Du eine Bereinigung in Betracht ziehen. Es sieht nach einer neuen Bagle-Variante aus und weiss der Geier was das Ding alles mit sich bringt.

Du musst Dich also zwischen einem scheinbar sauberen und einem wirklich sauberen System entscheiden. Mit letzterem schläft man deutlich besser.

Hm, ich habe den PC jetzt zweimal neu gestartet (einmal schon direkt nach der Entfernung) und beide Male war nichts mehr zu sehen.
Gehörten die beiden Dateien überhaupt zu Bagle? Eine Google-Recherche brachte mich auf zwei Trojaner...

Wäre es eventuell ratsam ein paar Tage mit normaler Nutzung des PCs verstreichen zu lassen und dann nochmal einen Scan mit sämtlichen Programmen (AVG nochmal installieren und durchlaufen lassen, Ad-Aware, Blacklight und ein neues Hijackthis-Log) zu machen?

-Misty

MightyMarc 07.03.2007 02:57

Hast recht. Das Ding ist schlimmer als Bagle.
Zitat:

Auswirkungen:
• Erstellt eine potentiell gefährliche Datei
• Setzt Sicherheitseinstellungen herunter
• Änderung an der Registry
Stiehlt Informationen
Ermöglicht unbefugten Zugriff auf den Computer
Installier Windows neu! Ändere sämtliche Passwörter (Online-Banking, Email, Foren etc etc). Durch das Öffnen einer Hintertür ist Dein System nicht mehr vertrauenswürdig. Niemand weiss, was an dem System alles verändert wurde.

Misty 08.03.2007 20:48

So, mein WinXP-Rechner wandert am Monatg zum Händler, der checkt ihn nochmal durch und setzt ihn dann neu auf.
Noch ne Frage: nützt es was, wenn man genau weiß wo man sich den Trojaner eingefangen hat? Mittlerweile hab ichs rausgekriegt, eigentlich eine Seite, der ich vertraue/vertraut habe. Soll ich die Adresse hier eventuell mal posten?
Bagle ward seitdem nicht mehr gesehen (zumindest findet AVG nichts mehr), der Trojaner meldete sich auch erst wieder nachdem ich auf der besagten Seite war, AVG hat's gleich vernichtet und ein Scan förderte auch nichts zu Tage, ein Versuch (nochmal absichtlich auf die Seite) gleich darauf brachte das Gleiche.

Reichen meine Versuche das System wenigstens etwas zu bereinigen um damit übers Wochenende zu kommen?

Systemwiederherstellungspunkte gelöscht

Scans mit Ad-Aware, AVG, eScan, Blacklight und Spybot Search & Destroy (all clear)

Dazu die auf der Trojaner-Seite ( h**p://www.avira.com/de/threats/section/fulldetails/id_vir/2903/tr_psw.small.b.1.html ) beschriebenen Registry-Einträge wieder manuell in den Urzustand versetzt (dabei wohl beim letzten Eintrag was falsch gemacht, Windows-Firewall will nicht mehr)

Jetzt hab ich ständig ZoneAlarm, AVG und Spybot Search&Destroy laufen (im Hintergrund und aktiviert).

_________________

Noch eine Frage: Was ist/war eigentlich W95.Hybris.Worm (I.Worm/Hybris) ??? Wäre mir danach auch eine Neuinstallation empfohlen worden?

Und noch eine, die mich deit der "Neuinstallieren"-Empfehlung beschäftigt: Wenn man solche Viren/Würmer/Trojaner eh nicht vernünftig entfernen kann, wieso machen sich dann die Anti-Viren-Software-Hersteller noch die Mühe eine Funktion zum entfernen herzustellen, wenn man dann doch "format C:\" (is glaube ich bei WinXP nimmer, oder?) machen muss? Wäre es da nicht effizienter "nur" Diagnoseprogramme zu erstellen?

-Misty

PS: Wollt ihr nochmal ein Hijackthis-Log haben? Da ist der Eintrag zu den von Bagle infizierten Dateien verschwunden.

PPS: Euch ein dickes DANKE für die Hilfe. Auch wenn ich mir das Endergebnis anders vorgestellt hätte. *euch virtuell nen Blumenstrauß gibt*

Misty 08.03.2007 22:26

Und noch was: wenn ich danach gehe: h**p://oschad.de/wiki/index.php/Kompromittierung hätte ich wohl einen Totalverlust aller meiner Daten (keine Backups vorhanden, bzw keine Ahnung wann die Schädlinge gekommen sind), oder? Und "alle Datenträger neu formatieren" (hier: h**p://faq.underflow.de/#SECTION000120000000000000000) bedeutet dann doch wohl (neben C:) auch D:, E: und G: (meine externe Festplatte)?
Und ein Totalverlust wäre für mich persönlich der Super-GAU schlechthin, ehrlich gesagt würde ich da lieber ein System akzeptieren, das eventuell nicht mehr ganz so sicher ist.

Und nochwas: wenn ich mir diese ganzen "Schreckensszenarien" so durchlese kann es doch eigentlich keine wirkliche Sicherheit geben, auch wenn man sich mit Firewalls, Virenscannern, etc pp eindeckt?

-Misty


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131