|
Ärger mit HackTool Nabend zusammen :) Bin neu hier und hoffe ihr könnt mir helfen!!! Ich hatte bis jetzt noch nie Probleme mit Viren, Trojanern oder Würmern, da ich eigentlich ganz gut geschützt bin...dachte ich :balla: (1 HW Firewall, 1 SW Firewall und F-Secure) Jetzt hab ich mir aber was ziehmlich lästiges eingefangen, und zwar laut F-Secure "HackTool.Win32.Hidd.f" Favoriten werden immer Dinge eingetragen, lästige PopUps kommen die ganze Zeit, und F-Secure meldet die ganze Zeit es habe was gefunden und umbenannt...wenn ich alles putze und shredder (auch schon im abgesicherten Modus ohne SysWiederherstellung gemacht) isses nach ein paar Minuten alles wieder da :koch: Formatieren kommt eigentlich bei diesem Rechner absolut nicht in Frage, da sehr sehr viele sensieble Daten und Einstellungen drauf sind (Firmenrechner)!!! Hoffe mal ihr könnt mir helfen....danke schonmal im Vorraus!!! Markus aKa -=FREAK=- |
Hallo, bitte ein logfile mit diesem Programm erstellen: www.Hijackthis.de Inhalt hier ins Forum posten. dann sehen die experten hier weiter. |
Hier mal eine Übersicht über die potentiellen Möglichkeiten dieses Schädlings: http://www3.ca.com/securityadvisor/v....aspx?id=41372 Einem Privatrechner würde in diesem Fall sofort die Neuinstallation vorgeschlagen werden, wenn es ein Firmenrechenr ist, wäre die erste Frage, ob es einen Administrator gibt oder eine für die Sicherheit zuständige Firma? Die wären die ersten Ansprechpartner. Zunächst mal müsste man genauer wissen, wo der Schädling gefunden wurde und ein entsprechendes Hijackthis-Log wäre ebenfalls hilfreich. Ist dieser Schädling aktiv, gibt es nur die Alternative einer sauberen Neuinstallation oder Weitergabe des Rechners an einen entsprechenden Experten, der die Daten sichert und sich um den Schädling kümmert. Es handelt sich hier nicht nur um lästige Popups oder veränderte Startseiten, sondern um Programme, die Daten stehlen, Passworte auslesen und Systemmanipulationen vornehmen können, damit ist definitiv nicht zu spaßen, ganz besonders bei einem Firmenrechner. |
MK, du hast einfach Recht, für Firmenrechnern sind wir nicht zuständig, da soll es Leute geben, die dafür bezahlt werden.! LG, Charlie :teufel1: |
moin, Zitat:
|
So, hier ist das LogFIle...hoffe mal es ist das richtige und ihr könnt was damit anfangen :o Logfile of HijackThis v1.99.0 Scan saved at 18:02:01, on 11.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\bmwebcfg.exe C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE c:\jetsuite\jsdaemon.exe C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\F-Secure\Common\FSMB32.EXE C:\WINDOWS\System32\SCardSvr.exe C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure\Common\FCH32.EXE C:\WINDOWS\Explorer.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\F-Secure\FWES\Program\fsdfwd.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\DU Meter\DUMeter.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\SecCopy\SecCopy.exe C:\Palm\HOTSYNC.EXE C:\Programme\Hewlett-Packard\Toolbox\jre\bin\javaw.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\smbdins.exe C:\WINDOWS\System32\sethcd.exe C:\WINDOWS\System32\tsmsetup.exe C:\Dokumente und Einstellungen\flentje\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://clearsurfing.net/srch.php?qq=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://myfind4u.com/sp.htm R3 - Default URLSearchHook is missing O1 - Hosts: 213.69.64.249 TRSAP01 O1 - Hosts: 213.69.64.250 TRTEST01 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file) O2 - BHO: Name - {D47BDA30-5BB9-40FE-973A-B007C32A4579} - C:\WINDOWS\System32\mswia.dll O2 - BHO: (no name) - {DE3BEBDB-AEE7-4277-8B6E-4EEFFA9508AE} - (no file) O3 - Toolbar: (no name) - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - (no file) O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [StatusClient 2.6] C:\Programme\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [rdspclips.exe] rdspclips.exe O4 - HKCU\..\Run: [Oasis] regsvr32 /s "c:\Program Files\Oasis\oasis.dll" O4 - HKCU\..\Run: [Second Copy 2000] "C:\Programme\SecCopy\SecCopy.exe" O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] C:\Programme\Purgatio Pro\checker.exe /check O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE O4 - Global Startup: DllCmd32.lnk = C:\jetsuite\DLLCMD32.EXE O4 - Global Startup: Second Copy 2000 (2).lnk = C:\Programme\SecCopy\SecCopy.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1107974641774 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = tr-gruppe.de O17 - HKLM\Software\..\Telephony: DomainName = tr-gruppe.de O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = tr-gruppe.de O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = tr-gruppe.de O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bytemobile Web Configurator - Bytemobile, Inc. - C:\WINDOWS\System32\bmwebcfg.exe O23 - Service: Cisco Systems, Inc. VPN Service - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe O23 - Service: F-Secure Gatekeeper Handler Starter - Unknown - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE O23 - Service: F-Secure Anti-Virus Firewall Daemon - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE O23 - Service: jsdaemon - JetFax, Inc. - c:\jetsuite\jsdaemon.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\hpzipm12.exe O23 - Service: Network Security Service - Unknown - C:\WINDOWS\apiju32.exe (file missing) |
Hi, lasse mal die folgenden Dateien online bei Jotti scannen und berichte jeweils das 10-zeilige Ergebnis: C:\WINDOWS\System32\smbdins.exe C:\WINDOWS\System32\sethcd.exe C:\WINDOWS\System32\tsmsetup.exe C:\WINDOWS\System32\bmwebcfg.exe C:\WINDOWS\System32\mswia.dll Außerdem hast du den da drauf, und der alleine rechtfertig das Neuaufsetzen.... cacatoa |
Ich hoffe mal dass sind die 10 Zeilen die du meinstest :crazy: Dank euch übrigens allen mal so zwischendurch für eure Mühe :daumenhoc Service load: 0% 100% File: smbdins.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir No viruses found (0.68 seconds taken) Avast No viruses found (3.81 seconds taken) AVG Antivirus No viruses found (0.79 seconds taken) BitDefender No viruses found (0.36 seconds taken) ClamAV No viruses found (0.35 seconds taken) Dr.Web No viruses found (0.51 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Fortinet No viruses found (0.52 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.FindSpy.a (0.64 seconds taken) mks_vir Trojan.Downloader.Sapox (0.22 seconds taken) NOD32 No viruses found (0.44 seconds taken) Norman Virus Control No viruses found (0.45 seconds taken) _______________________________________________________________ Service load: 0% 100% File: sethcd.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir TR/Spy.Jepan (0.22 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.84 seconds taken) BitDefender No viruses found (0.39 seconds taken) ClamAV No viruses found (0.48 seconds taken) Dr.Web Trojan.Click.209 (0.56 seconds taken) F-Prot Antivirus No viruses found (0.23 seconds taken) Fortinet W32/Adclicker.BW-tr (0.34 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.Msnagent.a (0.64 seconds taken) mks_vir No viruses found (0.36 seconds taken) NOD32 No viruses found (0.48 seconds taken) Norman Virus Control No viruses found (0.98 seconds taken) _________________________________________________________________ Service load: 0% 100% File: tsmsetup.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir No viruses found (0.21 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.85 seconds taken) BitDefender No viruses found (0.44 seconds taken) ClamAV No viruses found (0.40 seconds taken) Dr.Web No viruses found (0.56 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Fortinet No viruses found (0.52 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.FindSpy.a (0.63 seconds taken) mks_vir No viruses found (0.22 seconds taken) NOD32 No viruses found (0.42 seconds taken) Norman Virus Control No viruses found (0.52 seconds taken) ________________________________________________________________ Service load: 0% 100% File: bmwebcfg.exe Status: OK Packers detected: None AntiVir No viruses found (1.27 seconds taken) Avast No viruses found (4.80 seconds taken) AVG Antivirus No viruses found (2.24 seconds taken) BitDefender No viruses found (0.59 seconds taken) ClamAV No viruses found (0.74 seconds taken) Dr.Web No viruses found (1.16 seconds taken) F-Prot Antivirus No viruses found (0.08 seconds taken) Fortinet No viruses found (0.90 seconds taken) Kaspersky Anti-Virus No viruses found (1.27 seconds taken) mks_vir No viruses found (0.50 seconds taken) NOD32 No viruses found (0.89 seconds taken) Norman Virus Control No viruses found (1.59 seconds taken) ________________________________________________________________ Service load: 0% 100% File: mswia.dll Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: None AntiVir TR/DNSchanger.f2.A (0.21 seconds taken) Avast No viruses found (1.51 seconds taken) AVG Antivirus No viruses found (0.84 seconds taken) BitDefender No viruses found (0.37 seconds taken) ClamAV No viruses found (0.38 seconds taken) Dr.Web No viruses found (0.56 seconds taken) F-Prot Antivirus No viruses found (0.07 seconds taken) Fortinet No viruses found (0.43 seconds taken) Kaspersky Anti-Virus No viruses found (0.62 seconds taken) mks_vir Trojan.Startpage (0.21 seconds taken) NOD32 No viruses found (0.94 seconds taken) Norman Virus Control No viruses found (0.46 seconds taken) ________________________________________________________________ |
Nach Lesen des ganzen threads schließe ich mich einfach nur den Ausführungen von MK an; will sagen; wenn es Dein Rechner ist; dann neu aufsetzen; wenn es ein Firmenrechner ist, dann neu aufsetzen lassen. cacatoa |
OK, also es ist ein privater Firmenrechner :D (kein Admin der zuständig wäre, aber trotzdem sehr wichtige und viele Sachen drauf!) Will sagen format c: kommt ned in Frage.... Will euch ned nerven, aber wenn es IRGENDEINE Chance gibt, dass Ding zu retten, lasst es mich wissen....bitte! :dummguck: |
Nur wegen "wichtigen" und "vielen" Sachen den Dreck einfach drauf lassen ist wohl nicht die richtige Lösung. Die Quittung wirst Du bald bekommen. Sichere Deine Daten ordentlich und formatiere. Alles andere ist Blödsinn. Und allein deswegen wirst Du hier keine ander Hilfe finden. Ist so. Sorry, cacatoa |
Zitat:
Hab da noch einen Tipp! Trenn den Rechner vom Netz,werf ihn aus dem Fenster,und fahr mit dem Auto drüber,verschone bitte die anderen User im Netz mit deiner Virenschleuder! Danke |
...oder beauftrage einen Spezialisten, das wird dich dann aber einiges kosten ;) |
omg wer denkt das eine firewall und antiviren programme einen trojaner oder sonstiges finden hat wohl nur die "an eigener haut erfahren" strafe zu erwarten... das es immer noch so naive leute gibt. wie schon tausendmal gesagt: neuinstall windows passwörter sofort ändern (wohl eh schon zu spät) und nie was mit geld mitm rechner machen |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board