|
vermute schädling hinter Dit.exe HI@all ich hab beim surfen immer wider die meldung bekommen das opera, mein internet browser, auf eine infitierte datei im chace ordner von opera zugreifen wollte, als ich mein anti viren kit darauf anwies die datei zu löschen kam die meldung noch mal, und ich lies die datei wider löschen. seit dem ist das internet ar*** langsam und manchmal dauert es erst minuten bevor opera anfängt eine seite zu laden ... als ich mir einige prozesse im taskmanager ansah, viel mir auf das die Dit.exe sich am anfang groß schreibt, aber auf allen seiten auf den ich nachforschte schrieb sie sich klein. zu dem befindet sie sich im ordner C:\windows . was soll ich tun? normaler weise gehört dit.exe zu meinem kartenleser, aber wenn sich dahinter ein schädling versteckt, wird er beim virenscan nicht erkannt ... ich hoffe ihr könnt mir helfen, gruß XE. PS: ich glaub ich hab das post ins falsche forum gepostet ... |
Hallo, wir können das Forum ganz einfach zum richtigen machen :D Du postest einfach ein HijacjThis Log wie hier beschrieben, dann kann man wahrscheinlich mehr sagen. Grüße Wildone |
dann saug ichs mir mal schnell ;) (gabs nicht mal so 'ne Seite wo man verdächtige datein hochladen konnte und scannen lassen konnte?) scan complet: Logfile of HijackThis v1.99.1 Scan saved at 20:40:37, on 07.10.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit 2005\AVKService.exe C:\Programme\AntiVirenKit 2005\AVKWCtl.exe C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\PGPserv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Classic PhoneTools\CapFax.EXE C:\Programme\Medion\PowerCinema\My_TV\Agent.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\DitExp.exe C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe C:\Programme\Opera\Opera.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Dokumente und Einstellungen\Stephan Lehners\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.medion.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://smartsurfer.web.de/client/redirect R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe O4 - HKLM\..\Run: [SuperSpamKiller] C:\PROGRA~1\SSK\SSK.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Save Flash - res://C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU) O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Programme\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - h**p://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?326 O17 - HKLM\System\CCS\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134 O17 - HKLM\System\CS1\Services\Tcpip\..\{25DF5560-D1A4-4A46-9273-CD014FCE44DB}: NameServer = 62.104.191.241 62.104.196.134 O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit 2005\AVKWCtl.exe O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\System32\PGPserv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe [edit] links entfernt [/edit] |
Hallo, ja gibt es, und zwar hier ,glaube aber noch nicht an an die Bösartigkeit der dit.exe, aber kannst es ja mal ausprobieren (vorher Prozess beenden). Grüße Wildone |
ok die war wirklich unschuldig, trotzdem verwirrt mich das mit dem großen D ... (hab den log unten angehongen) |
Zitat:
und bitte editiere deine links zukünftig selber :teufel2: GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif (aus dem buch:"do it") |
Hallo, hmm, ich kann in deinem Log keine Auffälligkeit entdecken, welche Datei wurde denn von AVK gelöscht? Tritt das Problem auch mit dem IE auf? Ich gehe mal richtig in der Annahme das AVK mit den neusten Definitionen nichts findet, oder? Grüße Wildone |
was avk da genau gelöscht hat weiß ich auch nich irgentwas mit trojaner downloader. und ja das gleich prob mit IE und firefox und wie vorhin genannt opera und die signatur von avk ist akuel. aller dings scant avk nicht alles auf einige datein wird avk der zugriff verweigert ... MfG XE |
Hallo, schwierig, also das AVK keinen Zugriff auf manche Dateien hat ist vollkommen normal. Ist zwar eigentlich nicht unbedingt sinnvoll (weil gleiche Scanengine) aber untersuche mal dein System mit Escan (Anleitung genau befolgen!) und poste dann das Log (find.bat!) vielleicht ist ja der Downloader in der Systemwiederherstellung hängen geblieben und man kann ihn wenigstens näher bestimmen. Grüße Wildone |
das kenn ich nich, ist das ein viren scanner? ... sollte man nicht immer nur ein virenscanner installiert haben? (wenn das einer ist^^) |
Hallo, ja das ist ein Virenscanner, und prinzipiell hast du recht mit der Aussage, aber das ist nur ein Ondemandscanner, will heißen er ist nicht im Hintergrund aktiv und stört somit auch keine anderen installierten scanner. Grüße Wildone |
das ding ist 8.6 mb groß :o da saug ich 'ne halbe stunde drann (ich kann nur mit 3.5kb/s laden!!!) das mach ich dann aber morgen |
Hallo, achso, du hast nur ein 56k Modem, diese Problematik vergißt man so schnell als DSL nutzer, aber momentan fällt mir nichts anderes ein. Eine Vermutung könnte sein das du eine wichtige Datei gelöscht hast, die zwar infiziert war, aber trotzdem benötigt wird, also schau noch mal in den Logs von AVK nach, vielleicht findest du den Löschvorgang ja dort doch noch, und die genaue Bezeichnung des Schädlings. Grüße Wildone |
so ich hab da ein LOG mit virenfund gefunden, es gibt aber noch mehr davon ... In der Datei "C:\Dokumente und Einstellungen\Stephan Lehners\Anwendungsdaten\Opera\Opera\profile\cache4\opr00WIW.js" wurde der Virus "Trojan-Clicker.JS.Gen (KAV-Engine)" entdeckt. Datei gesäubert: nein. Datei gelöscht: ja. Quarantäne: nein. |
Hallo, wenn es mehr davon gibt ruhig alles (soweit es das Forum nicht sprengt) posten. Der Eintrag hier ist relativ harmlos, das scheint mir ein Javavirus zu sein, der bei aktuellem (oder wie bei dir halbwegs aktuellem) Java keinen Schaden anrichten sollte. Die Dinger kann man übrigens auch unter Systemsteuerung>>Java "Temporäre Internetdateien">>"Dateien löschen" löschen. Also poste mal noch die anderen Einträge. Grüße Wildone |
ok, da alle viren funde im chace von opera gefunden wurden, sortiere ich mal nur die namen der Viren oder trojaner raus. ok? JS.Trojan.Downloader.IstBar.A , Trojan-Downloader.JS.IstBar.ai , Trojan-Clicker.JS.Gen , Trojan-Downloader.JS.IstBar.j , Exploit.HTML.CodeBaseExec , der war in Temporary internet files: HackTool.Win32.WebHack (hackTool? frag mich echt von wo der kam ... ) und der im temp: Joke.Winshoot.A |
Hallo, die scheinen mir alle mehr oder weniger harmlos, bzw. nicht zuständig für dein Problem. Ehrlich gesagt bin ich langsam ratlos, vielleicht doch mal in den sauren Apfel beißen und Escan runterladen, und berichten was der so findet, vielleicht hat ja auch ein anderer User noch eine Idee was das sein könnte. Wenn du jetzt DSL hättest würde ich dir vorschlagen vielleicht mal JAVA neu zu installieren, da allerdings das Problem auch beim IE auftritt ist es eher unwahrscheinlich das es daran liegt. Grüße Wildone |
ok, ich versuche es mal mit Escan MfG XE |
also nach AVK ist die Escan installations datei infiziert :heulen: http://img301.imageshack.us/img301/6171/hjz4vg.jpg soll ich trotzdem installieren ? MfG XE |
Ja! Es ist nicht neu, daß ein AV Scanner ein Konkurrenz Produkt als Malware deklariert. Die Meldung ist ungefährlich und in diesem Fall überzogen. ;) |
hallo tut mir leid das das so lange gedauert hat, aber ich war die letzten tage ziemlich beschäftigt... es gibt da ein kleines prob.: ich muss mir das teil nochmal saugen, weil avk es hinter meinen rücken gelöscht hat ... |
hi, hat schon wider etwas lange gedauert, sorry. also mein problem hat sich erledigt, nachdem eine reperatur installation über mein system ergehen lassen hab, weil es zimilich unstabiel war. Und irgendwie im neben effect hat sich die sache wohl erledigt. auf jeden fall läuft die sache mit dem internet wider normal :) aller dings würd ich gerne wissen was da genau schief ging ... MfG XE ;) |
Hallo, ich denke so genau kann dier das niemand sagen. Ich vermute immernoch das eine Systemdatei infiziert war und diese dann gelöscht wurde und damit dein System mehr oder weniger zerschoßen wurde. Die Reparaturinstallation war wahrscheinlich das einzig richtige. Du solltest dir aber auf jeden Fall mal SP2 besorgen, sonst ist eine weitere Infektion nur eine Zeitfrage, und dann das System aktuell halten (ich weiß mit 56k modem ist das mehr als lästig) aber das ist die einzige Möglichkeit dich wirklich zu schützen. Grüße Wildone |
ok werd ich machen :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board