Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   your privacy is in danger (https://www.trojaner-board.de/50127-your-privacy-is-danger.html)

skatepunk017 03.03.2008 17:26
your privacy is in danger
 
hallo! ich habe seit einigen wochen ein problem mit meinem pc (windows xp) ich habe mir anscheinend irgendwo infiziert und es erst gar nicht gemerkt. hier und da mal ne meldung ich soll xpantivir runterladen und drei fehlermeldungen, dass mein pc ungeschützt ist. dann habe ich eben antivir (nicht xpantivir) installiert um das wegzubekommen. er hat auch einiges gefunden aber nach dem löschen der gefundenen dateien wurde es schlimmer. ich habe neu gestartet dann kamen drei verknüpfungen auf dem desktop: malaware, spybot search an destroy und noch was (weiss ich leider nicht mehr). nach dem löschen dieser drei verknüpfungen habe ich bemerkt, dass sie nach jedem neustart neu kommen. dann habe ich folgende programme versucht:

adaware 2007, tune up (den reg cleaner), einen reg cleaner den man im abgesicherten modus laufen lassen musste (weiss ich leider auch nicht mehr wie das hieß.), spybot search and destroy, zone alarm habe ich im moment laufen und letztendlich anti vir.

die programme haben alle bisschen was gefunden und ich hab immer gleich alles gelöscht. deshalb dachte ich auch ich bin alles los. leider musste ich nach ein zwei wochen sehen, dass mein desktop-hintergrundbild sich in eine html seite oder in ein active x steuerelement verwandelt hatte. your privacy isn´s protected oder so hiess es. jetzt hab ich mal ein hijackthis gemacht und hoffe ihr könnt mir helfen, da formatieren wirklich eigentlich das letzte ist was ich machen möchte, da ich keine partition erstellt habe und meine datein nicht so einfach sichern kann.

edit: ich habe ein neues thema hier erstellt, weil ich echt bammel habe und unbedingt sicher sein will, dass es ganz speziell in meinem fall auch erledigt ist, weil ich online banking und so nutze und lieber einmal zu vorsichtig bin... danke im vorraus

myrtille 03.03.2008 17:42
Hi,
erstell bitte mal ein Log mit Smitfraudfix:
Abschnitt "Suche"

und installier so schnell wie möglich das SP2 vorher würd ich kein Onlinebanking betreiben

lg myrtille

skatepunk017 03.03.2008 19:08
alles klar ich hab das mal so gemacht! ich hab jetzt nur die erste log gepostet als anhang (die vor dem cleanen) die zweite (nach dem cleanen) ist zu groß?!?

punkt drei Restore Trusted Zone hab ich nicht ausgeführt, weil ich nicht wusste, ob ich das auch soll.

ps. warum sp2 eigentlich?

myrtille 03.03.2008 19:51
Das ist nur der Rapport 1. Nicht der von nach der Bereinigung , würde den auch noch gern sehen.
Ebenso wie ein neues Hijackthislog.

SP2 und nachfolgende Updates sollte man installieren, weil es jede Menge bekannte Schwachstellen in Windows gibt, die von Würmern und Trojanern ausgenutzt werden um deinen Rechner ohne dein Zutun zu infizieren.
Windows macht sich die Mühe diese Löcher zu stopfen um das Risikos einen Befall ohne eigenes Zutun zu minimieren, das geht aber nur, wenn man die Updates in denen die Sicherheitslöcher geschlossen werden, auch installiert.

In deinem Fall könnte ein Wurm sozusagen an einen offenen Port klopfen und alle bekannten Sicherheitslöcher abklappern, bis er eins findet, dass bei dir offen ist und sich dadurch installieren. Bei einem aktuellen System sollte er keine finden.

Den Befall den du derzeit hast, verbreitet sich zb auch durch eine Sicherheitslücke in Java, wenn man gewisse Seiten benutzt. Diese Lücke wurde vor anderthalb Jahren geschloßen und alle Leute die spätere Versionen installiert haben sind davon nicht betroffen.
Genauso ist es auch bei Windows: Wenn eine Sicherheitslücke bekannt wird, dann gibt es auch einen Wurm der diese ausnutzen will. Deswegen sollte man halt auch bei Windows regelmäßig aktualisieren.

lg myrtille

skatepunk017 03.03.2008 19:55
ok alles klar! dann werde ich dann mal updaten aber erst wenn ich das hier eventuell hinter mir habe. anbei meine neue hijackthisfile. wie gesagt meine neue SmitfraudFix kann ich leider nicht anhängen, da sie zu groß ist (221kb) und posten kann ich sie nicht, weil sie zu viele zeichen enthält?!?

myrtille 03.03.2008 20:01
Schau dir das Log mal an:
Wenn es sehr viele einträge der Art: "127.0.0.1 www.blabla.bla" enthält, kannst du einfach diese rauslöschen und dann das entschlackte Log posten. Lass bitte 3-4 Einträge drin, damit ich sehen kann, welche Art von Seiten geblockt wird.

Lass bitte folgende Datei noch bei virustotal auswerten:
Zitat:
c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\zagkqt.exe zagkqt
Da scheint noch was anderes am Start zu sein.
lg myrtille

skatepunk017 03.03.2008 20:15
so jetzt hab ich hier die entschlackte version meiner log file ^^ hab ein bisschen was drinnen gelassen wie du´s wolltest. bist echt super bin dir echt dankbar! sag mal ich glaube ich habe die zagkqt.exe gelöscht gestern. weil ich iwie drauf gekommen bin (glaube durch zone alarm oder antivir) dass das der virus ist... auf jeden fall hab ich die nicht mehr. da waren noch zwei andere dabei! hab ich jetzt sch... gebaut? :heulen:

myrtille 03.03.2008 20:25
Naja, es erschwert die Suche ein wenig. ;)
Arbeite bitte die beiden folgenden Anleitungen ab:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.


Poste die beiden logs bitte hier posten.
lg myrtille

skatepunk017 03.03.2008 20:52
ich denke das sieht gut aus. aber denken hat mir bis jetzt nicht sooo viel gebracht sonst hätte ich die zagkqt.exe nicht gelöscht ^^

myrtille 03.03.2008 21:00
Hi,
Navilog wurde fündig. Der WebMediaPlayer hat dir wahrscheinlich deine Probleme mit beschert.

Daher würde ich empfehlen, dass du das Tool nochmal drüberlaufen lässt und damit den Player entfernst:
  • Rufe das Programm bitte erneut auf und wähle die Option 3
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
    Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit Strg+Alt+Entf den Taskmanager auf und wähle unter Prozesse->Neuen Task ausführen aus. Gib dort explorer ein.

Bitte danach noch ein Log mit combofix erstellen.

lg myrtille

skatepunk017 03.03.2008 21:14
hm combofix geht irgendwie net.... sagt immer jetziges datum 3.3.08 die version ist abgelaufen. hab schon geschaut, ob ich sie von wo anders bekomm. aber da ist es das gleiche....

myrtille 03.03.2008 21:24
Auf welchem Datum steht denn dein Rechner? Vielleicht liegts ja einfach daran? :rolleyes:
EDIT: ok bei verändertem Datum machts weniger Sinn. ;)
Alternativ bitte einfach einen Scan mit blacklight machen. Wenn der nichts findet, sollte alles in Ordnungn sein.

lg myrtille

skatepunk017 03.03.2008 21:30
hab ich schon geändert! kp erst stand 1.4.08 da. keine ahnung hab mich vorhin bei euch eingeloggt und dann kam von eurer seite iwas mit datum winter auf sommerzeit und dann hatte ich um 20.00 uhr schon 22.00 uhr und den 1.4.08. ich weiss auch nicht. ich hab´s auf jeden fall zurückgestellt. ich hab jetzt mit blacklight gescannt der sagt alles in ordnung! bin ich jetzt spy und virenfrei?

myrtille 03.03.2008 21:35
Ich würde es vermuten. :D
Einige Einträge sollten noch entfernt werden:
Ruf Hijackthis auf, klicke auf "do a system scna only" und setze Haken vor folgende Dateien:
Zitat:
O3 - Toolbar: emotigt - {5D8B2464-E896-4C7A-970F-1C44BF30B3E9} - (no file)
O4 - HKCU\..\Run: [zagkqt] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\zagkqt.exe zagkqt
O21 - SSODL: bdmanager - {1CD50042-843C-4153-8060-0DF8BB5E42F9} - (no file)
Klick auf "Fix checked"

Erstelle danach noch ein neues Hijackthislog und poste es sicherheitshalber nochmal hier.

lg myrtille

skatepunk017 03.03.2008 21:39
ok jetzt hilft nur hoffen! :Boogie:


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:45 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131