|
...wäre ja nix neues :) also, folgendes Problem: Wenn ich den Internet Explorer zum Surfen verwende werden mir charakteristische Wörter wie "Web" "News", "Download" oder auch einfache Pfeile (→) durch folgenden Link ersetzt: "http://www.ntsearch.com/search.php?q=Web&v=52&src=zon" -> für die Query Variable dann halt der Value des entsprechendes Wortes Das ist echt ziemlich frustrierend bei Surfen, besonders wenn man wie ich Google-Fetischist ist... Habt ihr ne Idee, welche Trojaner-Abart das wieder ist, oder wie ich den weg bekomme?? Aktuelle Virenscanner bzw. Trojaner-Tools halfen leider nicht... is bestimmt wieder was neues! Bin für jede Hilfe dankbar!! lg, Rico |
Moin chococcino, willkommen im Board! Auch an dich folgenden Rat/folgende Bitte: Am Besten, Du lädst Dir erst einmal HijackThis herunter, scannst deinen Rechner und postest uns den Report hier. Dann können wir am besten sehen, was sich auf deinem Rechner so 'tummelt'... tschööö, DerBilk |
ich habs mal drüber laufen lassen -> hat ne ganze Stange von Verdächtigungen gefunden und entfernt, jedoch besteht das Problem immer noch... |
"DerBilk" meinte, du solltest das Log hier Posten! ;) Versuche es mal hiermit: http://www.merijn.org/cwschronicles.html und mit einem Windowsupdate. |
Hört sich nach einen Hijacker an.Du solltest einmal einen Scan mit Spybot machen: http://www.soft-ware.net/system/date...rus/p02652.asp Das Problem dürfte dann behoben sein. Allerdings wirst du mit dem IE immer wieder solche Probleme haben. Sicherere Browser sind: Opera, Mozilla, Firebird www.firebird-browser.de |
Die beiden Programme haben zig-Sachen gefunden unt entfernt, jedoch nicht mein eigentliches Problem... Ich hab auch alle Trojanerchecks von hier schon drüber gejagt - ohne Erfolg. Ach ja, bevor ichs vergesse: Der Trojaner (oder was es auch immer ist) hat mir, wie es auch der Sober glaube ich macht, meine DNS Server auf der Netzwerkkonfig geworfen... Habt ihr noch nen Ratschlag?? |
Ach ja, nochmal das Logfile, das hatte ich irgendwie vergessen: Logfile of HijackThis v1.97.7 Scan saved at 13:36:13, on 27.12.2003 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\logonui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\rundll32.exe c:\windows\system32\win32.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\WINDOWS\System32\CTHELPER.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\Mixer.exe C:\Programme\Java\j2re1.4.2\bin\jusched.exe C:\WINDOWS\sp.exe C:\Programme\VPN\cvpnd.exe C:\Programme\Opera7\Opera.exe C:\Dokumente und Einstellungen\Rico\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/ O4 - HKLM\..\RunOnce: [*ttjemed] rundll32 C:\WINDOWS\System32:ttjemed.dll,Init 1 O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) Kann mir jetzt geholfen werden??? Danke schomal! |
Hmm. Wenn alle 3 Programme nichts ausrichten konnten, dann siehts schlecht aus. Auf der Seite http://www.merijn.org/cwschronicles.html bekommst du ja einen groben Überblick darüber, wie tief sich diese Programme ins System schreiben. Mit "manueller Entfernung" kommst du da in der Regel wohl nicht weit. Andreas |
</font><blockquote>Zitat:</font><hr />Original erstellt von chococcino: O4 - HKLM\..\RunOnce: [*ttjemed] rundll32 C:\WINDOWS\System32:ttjemed.dll,Init 1 </font>[/QUOTE]Ist das Log komplett? Scheint mir irgendwie nicht so. BTW: Die obige Datei ist eine afcore Variante, die wirst du wohl nur los, wenn du im Dosfenster folgendes eingibst rundll32 C:\WINDOWS\System32:ttjemed.dll,uninstall und danach den Eintrag mit Hijackthis fixen laesst. Dein Windows/IE ist nicht auf dem neusten Stand! Hole das mal via www.windowsupdate.com nach! |
Jaja, das Logfile ist voll komplett - mehr läuft da nich... Ich hab ja auch alle möglichen Programm drüber laufen lassen. ...übrigens hab ich vorhin al den Rechner neugestartet - und siehe da! Alles geht wieder 1A!! :D |
Loesche bitte noch folgende Datei c:\windows\sp.exe ud teste diese Datei c:\windows\system32\win32.exe hier: http://www.kaspersky.com/remoteviruschk.html Von der ersten weiss ich, das es ein Trojaner ist und die zweite ist sehr verdaechtig. |
Es dürfte sich um den Backdoor.Agobot handeln, was dafür spricht, dass der aktuelle RPC-Patch für Windows nicht eingespielt ist. Wo man den bekommt, und welche Maßnahmen man sonst noch treffen sollte, findet man hier: http://www.ntsvcfg.de/ Falls es Spybot ist, dann wurde wahrscheinlich etwas aus unseriöser Quelle installiert. Komisch in der Tat, dass wesentliche Autostarteiträge hier nicht aufgelistet sind - jene zur aktiven Malware sollten nämlich zu finden sein. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 09:54 Uhr. |
Copyright ©2000-2025, Trojaner-Board