Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   imageupload.biz öffnet ständig (https://www.trojaner-board.de/75546-imageupload-biz-oeffnet-staendig.html)

8_Spanky_8 20.07.2009 19:29
imageupload.biz öffnet ständig
 
hallo,

vor kurzem hab ich auf nen link geklickt, ich glaub es war einer auf irgendein Bild bei imageupload.biz, worauf mein Firefox einfach beendet wurde.
Danach kam es öfters vor, dass der Firefox einfach beendet wurde. Heute beim hochfahren öffnete sich der Firefox von selbst, er hat die seite imageupload.biz geldaen und sich sofort wieder beendet. In der Chronik war diese seite und noch etwas mit "layer-ads" danach drine.

Hab ich mir irgendwelche maleware eingefangen?

Hier mein HijackThis log.:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:10:57, on 20.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16850)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\DOKUME~1\****\LOKALE~1\Temp\vhost32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Wireless Console 2\wcourier.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\MirandaFusion\miranda32.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
T:\Downloads\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\DOKUME~1\****\LOKALE~1\Temp\vhost32.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [ms32sys] C:\WINDOWS\system32\ms32sys.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ms32sys] C:\WINDOWS\system32\ms32sys.exe
O4 - HKCU\..\Run: [TrueCrypt] "C:\Programme\TrueCrypt\TrueCrypt.exe" /q preferences /a favorites
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Miranda Fusion] C:\Programme\MirandaFusion\mfstart.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Mozilla Thunderbird.lnk = C:\Programme\Mozilla Thunderbird\thunderbird.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c9c4edafb760f6) (gupdate1c9c4edafb760f6) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 7916 bytes
schonmal Danke im vorraus ;)

kira 23.07.2009 10:11
Hallo 8_Spanky_8:)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

2.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

3.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

4.
→ besuche die Seite von virustotal und die Dateien aus Codebox bitte prüfen lassen - inklusive Dateigröße und Name, MD5 und SHA1 auch mitkopieren:
Code:
C:\DOKUME~1\****\LOKALE~1\Temp\vhost32.exe
C:\WINDOWS\system32\ms32sys.exe
→ Klicke auf "Durchsuchen"
→ Suche die Datei auf deinem Rechner→ Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
→ "Senden der Datei" und Warte, bis der Scandurchlauf aller Virenscanner beendet ist
→ das Ergebnis wie Du es bekommst da reinkoperen (inklusive Dateigröße und Name, MD5 und SHA1):

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein log schreibst du:[code]
hier kommt dein logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

8_Spanky_8 05.08.2009 12:41
sorry, dass ich erst jetzt schreibe, war im Urlaub.

1. erledigt

2. hat nich geklappt
Code:
not supported windows version
----------------------------------------

Microsoft Windows XP [Version 5.1.2600]
3.
Code:
5Spice Analysis 1.22
7-Zip 4.65
a-squared Anti-Malware 4.5
Adobe Flash Player 10 Plugin
Adobe Photoshop CS3
Adobe Reader 9.1 - Deutsch
Apple Software Update
Asus ChkMail
ASUS Live Update
Asus_A_Series_ScreenSaver
ASUSDVD
ATK0100 ACPI UTILITY
AVRStudio4
Bluetooth Stack for Windows
CCleaner (remove only)
Chandler 1.0.2
CloneDVD2
Command & Conquer™ Alarmstufe Rot 3
DirSync  2.8
Free FLV Converter V 6.32
Funambol 7.0.6
Futuremark SystemInfo
Google Earth
Google Updater
Grand Theft Auto IV
GTA San Andreas
GTA2
High Definition Audio - KB888111
HijackThis 2.0.2
Intel(R) PROSet/Wireless Software
Java(TM) 6 Update 14
Microsoft .NET Framework 2.0
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft Games for Windows - LIVE Redistributable
Microsoft Office Professional Edition 2003
Microsoft Plus! Dancer LE
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Miranda Fusion 2.0.4
MirandaX Ardena
mIRC
Motorola SM56 Data Fax Modem
Mozilla Firefox (3.0.13)
Mozilla Thunderbird (2.0.0.22)
Mp3tag v2.43
MSXML 4.0 SP2 (KB954430)
MSXML 6.0 Parser (KB925673)
Nero Suite
NVIDIA Drivers
Panda ActiveScan 2.0
Power4 Gear
PowerQuest PartitionMagic 8.0
PSpice Student 9.1
QuickTime
Real Alternative 1.9.0
RealPlayer
Realtek High Definition Audio Driver
REALTEK PCIE NIC Driver
Rockstar Games Social Club
Spelling Dictionaries Support For Adobe Reader 9
Spyware Doctor 6.0
Synaptics Pointing Device Driver
System Requirements Lab
TrueCrypt
USB2.0 1.3M Web Cam
VirtualCloneDrive
WinAVR 20081124rc3 (remove only)
Windows Essentials Media Codec Pack 2.2
Windows Genuine Advantage Validation Tool (KB892130)
Windows Internet Explorer 7
Windows Media Format 11 runtime
Windows Resource Kit Tools - SubInAcl.exe
Windows XP Service Pack 3
WinFlash
WinRAR
Wireless Console 2
µTorrent
4.

Code:
Datei vhost32.exe empfangen 2009.08.05 11:41:21 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 10/41 (24.4%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 70 und 100 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:       
       
Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.5.0.24        2009.08.05        Backdoor.Win32.SpecTroj!IK
AhnLab-V3        5.0.0.2        2009.08.04        Win-Trojan/Xema.variant
AntiVir        7.9.0.240        2009.08.05        HEUR/Malware
Antiy-AVL        2.0.3.7        2009.08.05        -
Authentium        5.1.2.4        2009.08.05        -
Avast        4.8.1335.0        2009.08.04        -
AVG        8.5.0.406        2009.08.05        -
BitDefender        7.2        2009.08.05        BehavesLike:Trojan.UserStartup
CAT-QuickHeal        10.00        2009.08.05        -
ClamAV        0.94.1        2009.08.05        -
Comodo        1873        2009.08.05        -
DrWeb        5.0.0.12182        2009.08.05        -
eSafe        7.0.17.0        2009.08.04        Win32.HEURMalware
eTrust-Vet        31.6.6658        2009.08.05        -
F-Prot        4.4.4.56        2009.08.04        -
F-Secure        8.0.14470.0        2009.08.05        -
Fortinet        3.120.0.0        2009.08.05        -
GData        19        2009.08.05        -
Ikarus        T3.1.1.64.0        2009.08.05        Backdoor.Win32.SpecTroj
Jiangmin        11.0.800        2009.08.05        -
K7AntiVirus        7.10.810        2009.08.04        -
Kaspersky        7.0.0.125        2009.08.05        -
McAfee        5698        2009.08.04        -
McAfee+Artemis        5698        2009.08.04        Artemis!2AA3BF9C8006
McAfee-GW-Edition        6.8.5        2009.08.05        Heuristic.BehavesLike.Win32.Downloader.L
Microsoft        1.4903        2009.08.04        -
NOD32        4307        2009.08.05        -
Norman        6.01.09        2009.08.05        -
nProtect        2009.1.8.0        2009.08.05        -
Panda        10.0.0.14        2009.08.04        Trj/Downloader.WDX
PCTools        4.4.2.0        2009.08.04        -
Prevx        3.0        2009.08.05        -
Rising        21.41.23.00        2009.08.05        Dropper.Win32.Undef.alr
Sophos        4.44.0        2009.08.05        -
Sunbelt        3.2.1858.2        2009.08.05        -
Symantec        1.4.4.12        2009.08.05        -
TheHacker        6.3.4.3.375        2009.08.01        -
TrendMicro        8.950.0.1094        2009.08.05        -
VBA32        3.12.10.9        2009.08.05        -
ViRobot        2009.8.5.1869        2009.08.05        -
VirusBuster        4.6.5.0        2009.08.04        -
weitere Informationen
File size: 55588 bytes
MD5...: 2aa3bf9c8006b25c303980add00c7094
SHA1..: 63becca03c1e7424f4718d85ffe4bc1035709854
SHA256: ef356d3b31f8a1c3901d7cacd1d6e18e4727a2ab9679ca75a682be9b55d0bba5
ssdeep: 768:OPrjVjf1iOsZ7ccgOumwOxMPGYdOuIqPLojSeNsEyEA0Hhw:erNEOoTwO+ht
Pk9Hi
PEiD..: -
TrID..: File type identification
MinGW32 C/C++ Executable (91.6%)
Win32 Executable Generic (3.1%)
Win32 Dynamic Link Library (generic) (2.8%)
Win16/32 Executable Delphi generic (0.7%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1240
timedatestamp.....: 0x4a577868 (Fri Jul 10 17:20:40 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3f44 0x4000 5.35 55c228d442f3e6bc1c10d28c2ed9a41e
.data 0x5000 0x2c0 0x400 2.49 3ca06447bf93b83f3938a741be2a11c5
.rdata 0x6000 0x200 0x200 5.34 4fcdc71444a46244dc0ac130e4b494eb
.bss 0x7000 0xb0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x8000 0xc34 0xe00 4.36 7264091a92174a8d0db9dcd50ca93afa
.rsrc 0x9000 0xd4c 0xe00 3.93 fdac77f15974a1919d3afcfd3d82a402

( 6 imports )
> ADVAPI32.DLL: AllocateAndInitializeSid, FreeSid, RegCloseKey, RegOpenKeyA, RegQueryValueExA, RegSetValueExA
> GDI32.dll: BitBlt, CreateCompatibleBitmap, CreateCompatibleDC, DeleteDC, DeleteObject, GetBitmapBits, GetObjectA, SelectObject
> KERNEL32.dll: AddAtomA, CloseHandle, CopyFileA, CreateMutexA, CreateThread, CreateToolhelp32Snapshot, ExitProcess, FindAtomA, FreeLibrary, GetAtomNameA, GetCurrentProcessId, GetEnvironmentVariableA, GetModuleFileNameA, GetModuleHandleA, GetProcAddress, GetProcessId, GetSystemDirectoryA, GetTickCount, LoadLibraryA, OpenMutexA, OpenProcess, Process32First, Process32Next, ReadProcessMemory, SetUnhandledExceptionFilter, Sleep, TerminateProcess, TerminateThread, VirtualAllocEx, VirtualFreeEx, WriteProcessMemory, lstrcatA, lstrcmpiA
> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _cexit, _iob, _onexit, _setmode, abort, atexit, calloc, fflush, fprintf, free, malloc, memcmp, memcpy, memset, printf, puts, rand, signal, strcmp, strcpy, strlen, strstr
> SHELL32.DLL: ShellExecuteA, ShellExecuteExA
> USER32.dll: AllowSetForegroundWindow, BlockInput, DestroyWindow, EnumWindows, FindWindowA, FindWindowExA, GetDC, GetForegroundWindow, GetParent, GetSystemMetrics, GetWindowLongA, GetWindowRect, GetWindowTextA, GetWindowThreadProcessId, IsWindowVisible, LoadBitmapA, SendMessageA, SetCursorPos, SetForegroundWindow, SetLayeredWindowAttributes, SetWindowLongA, ShowWindow, mouse_event

( 0 exports )
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Die zweite datei gibts bei mir net.

Wenn dir das nichts hilft werd ich formatieren, aber es wär gut zu wissen was ich jetzt aufm PC hab und was für schaden angerichtet werden kann.

kira 05.08.2009 19:49
hi

Es ist eindeutig, Du hast Dir irgendwie auf deinen Rechner einen Backdoor geholt:o
Das heißt, `jemand` durch ein Backdoor Programm hat Zugriff auf deine Daten. Über die Backdoorprogramme kann der Hacker (der übrigens nicht mal über Programmierkenntnisse verfügen muss!) das System praktisch unter seine Kontrolle bringen bzw. alles machen, was der eigentliche Besitzer des Systems auch machen kann oder wozu er berechtigt ist: Dateien rauf- oder runterladen, Programme ausführen, Virenscanner manipulieren, Internetadressen sperren (besonders beliebt: URLs von Virescanner-Herstellern). Mailadressen, Passwörter, Bankverbindungen - alles kann an den Hacker gesendet werden. Sie werden Dir aber meistens Dein System nicht ganz kaputt machen, weil es denen dann nichts mehr nutzt
Also einer Infektion mit einem Backdoor, man kann nie sicher sein, dass er zu 100 % weg ist und wo/wann er als nächstes auftaucht
Wichtig ist, dass du selbst bestimmst, welches Risiko du eingehen willst...wenn du z.B Online-Banking machst usw

8_Spanky_8 06.08.2009 11:06
ok, werd also formatieren.

Reicht es wenn ich meine Bilder und mp3s auf ner externen festplatte sicher und bevor ich sie wieder öffne mit nem virenscanner überprüfe?

danke für deine Hilfe

Garo 15.09.2009 15:31
Hallo Leute,

ich habe das gleich Problem wie die Person die dieses Thema erstellt hab und dank euch weis ich ja jetzt ja auch das es ne "Backdoor" ist und das ich mir nie sicher sein kann das es weg ist.
Aber gibt es denn überhaupt ne möglichkeit wie ich es wegbekommen könnte?
Ich habe bereits AntiVir und CCleaner probiert aber es verschwindet nicht.

Danke im vorraus.

"Formatieren währe wirklich nur der allerletzte Ausweg."


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131