Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unerwartete Sexreklame Fenster.. (https://www.trojaner-board.de/18951-unerwartete-sexreklame-fenster.html)

DummieRamona 14.06.2005 17:36
Unerwartete Sexreklame Fenster..
 
Also ich weiß nit wo ich die mir gefangen habe aber, ich habe 4 Antviren Dinger losgejagt und trotzdem habe ich das Problem wenn ich Morizalla oder I-Net Explorer anmache das dann nach 5 Minuten oder so dauernd sich fenster öffnen mit Sexreklamen.

Ich hab mal nen Auszug von Hjack dabei getan vielleicht kann mir jemand helfen..

Logfile of HijackThis v1.99.1
Scan saved at 18:43:55, on 14.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\winnt\System32\smss.exe
C:\winnt\system32\winlogon.exe
C:\winnt\system32\services.exe
C:\winnt\system32\lsass.exe
C:\winnt\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\winnt\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\winnt\system32\regsvc.exe
C:\winnt\system32\MSTask.exe
C:\winnt\System32\WBEM\WinMgmt.exe
C:\winnt\system32\svchost.exe
C:\winnt\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\fffvi.exe
C:\winnt\svchost.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\MSN Messenger\msnmsgr.exe
G:\eMule.de\emule.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINNT\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.neynet.com/n/?link=www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.neynet.com/n/r.html
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [PrinTray] C:\WINNT\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [JVM0.14] C:\WINNT\system32\fffvi.exe
O4 - HKLM\..\Run: [Generic Host Process] C:\winnt\svchost.exe
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck /autofix
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] G:\eMule.de\emule.exe -AutoStart
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: CAPIControl.lnk = C:\Programme\Telekom\Eumex 620 LAN\Capictrl.exe
O4 - Global Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O13 - WWW Prefix: h**p://www.neynet.com/n/?link=
O13 - Home Prefix: h**p://www.neynet.com/n/?link=
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{65C93A42-8534-404A-BFAE-9E750FB09B09}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{9212268A-C9CF-4B49-9A44-50E9149FA83E}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\Tcpip\..\{94D0D5B3-68BE-4722-827B-226B49AB8D7E}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{D88EAF16-9CE0-4F1B-9106-4E89ED779030}: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS1\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS1\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CS2\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CS2\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14,69.57.147.175
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\winnt\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

Haui45 14.06.2005 17:41
Verwende den http://www.trojaner-board.de/images/buttons/edit.gif-Button und editiere die URLs so, wie es in der HijackThis-Anleitung beschrieben ist.

Scanne die folgenden Dateien online bei http://virusscan.jotti.org/de und poste das Ergebnis.
Zitat:
C:\winnt\svchost.exe
C:\WINNT\system32\fffvi.exe
Die laufenden Prozesse solltest du zuvor im Task-Manager beenden.

DummieRamona 14.06.2005 17:50
Datei: svchost.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir TR/Click.Delf.CL gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Clicker.DZ gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus unknown virus gefunden (mögliche Variante)
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Clicker.Win32.Delf.cl gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Datei: fffvi.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir BDS/Agent.ec.1 gefunden
ArcaVir Keine Viren gefunden
Avast Win32:Agent-Q gefunden
AVG Antivirus Downloader.Small.43.G gefunden
BitDefender Backdoor.Agent.EC gefunden
ClamAV Trojan.Agent-99 gefunden
Dr.Web Trojan.DownLoader.2997 gefunden
F-Prot Antivirus W32/Backdoor.BPT gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Agent.ec gefunden
NOD32 Win32/Agent gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* File length: 48190 bytes.

[ Changes to filesystem ]
* Deletes file C:\bla.exe.
* Creates file C:\WINDOWS\SYSTEM\caac.exe.
* Deletes file c:\sample.exe.
* Creates file C:\WINDOWS\SYSTEM\caac.dat.

[ Changes to registry ]
* Deletes value "JVM0.12" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Deletes value "JVM0.14" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "JVM0.14"="C:\WINDOWS\SYSTEM\caac.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "221.211.255.5" on port 80 (TCP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 16008.
* Possible backdoor functionality [UNKNOWN] port 16649.

[ Process/window information ]
* Enumerates running processes.
* Enumerates running processes several parses....
* Will automatically restart after boot (I'll be back...). gefunden
VBA32 Backdoor.Win32.Agent.ec gefunden

chaosman 14.06.2005 18:06
@DummieRamona
du hast den hier im system
http://www.sophos.de/virusinfo/analy...ojagentec.html
deswegen kann man dich nur raten dein system neu auf zusetzen.
hier eine anleitung
http://www.trojaner-board.de/showpos...28&postcount=2


sry
chaosman

DummieRamona 14.06.2005 18:57
ohje danke trotzdem


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19