|
TR/Drop.small.NK brauche Hilfe zur... Hi, ich habe am 8.7.2005 meinen rechner zum ersten mal ans inet angeschlossen und bums hatte ich schon nach einer stunde einen trojaner drauf. obwohl ich die standart firewall von windows an hatte und norman virus control. also da ich servte so auf internetseiten und aufeinmal kammenganzviele internetseiten und es gin garnix mehr. nach so 1 1/2 minuten des schauspiels habe ich den stecker gezogen. nachdem ich den rechner dann neugestartet hatte war und ist der hinter grund blau mit einem schwarzen kasten in der mitte und rotem text ( "critical warning system been stopped due to a serious malfunction. spyware activity has been detected. it is recommeded to use spyware removel tool to prevent data loss. do not use the computer before all spyware remove."). ich habe jetzt auch schon Antivir drüberlaufen lassen und suche die ganze zeit im internet nach lösungen. ich bitte um hilfe und bedanke mich vorab schon einmal DANKE Mit freundlichen Grüßen knuLLte |
Ich würde zunächst gerne mal ein Hijackthis-Logfile deines rechners sehen. |
Logfile of HijackThis v1.99.1 Scan saved at 13:16:53, on 09.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\SOUNDMAN.EXE C:\NORMAN\nvc\BIN\ZLH.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\Ahead\InCD\InCD.exe C:\PROGRA~1\0900WA~1\WARN0900.EXE C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\PROGRA~1\0900WA~1\w0svc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\svchost.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe C:\NORMAN\nvc\BIN\NYMSE.EXE C:\WINDOWS\system32\wdfmgr.exe C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMAN\nvc\BIN\NJEEVES.EXE C:\NORMAN\nvc\BIN\nvcoas.exe C:\NORMAN\nvc\BIN\cclaw.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\cidaemon.exe C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe C:\Dokumente und Einstellungen\Hans\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://welcome.icq.com/js/ppfile.html?0 F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb01.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [sys3614] C:\WINDOWS\sys3614.exe O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [sys3614] C:\WINDOWS\sys3614.exe O4 - HKCU\..\Run: [Skype] "F:\F\internet\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.blazefind.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotch.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted Zone: *.xxxtoolbar.com (HKLM) O15 - Trusted Zone: *.ysbweb.com (HKLM) O15 - Trusted IP range: 67.19.178.84 (HKLM) O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - F:\internet\BT2Net\bt2plugin.dll (file missing) O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - F:\internet\BT2Net\bt2plugin.dll O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\PROGRA~1\0900WA~1\w0svc.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: svchost.exe (moto) - Unknown owner - C:\WINDOWS\svchost.exe O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\NORMAN\nvc\BIN\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe ------------------------- so das ist ein Logfile (glaube ich) und ich hoffe du kannst damit was anfangen. Mit freundlichen Grüßen knuLLte |
Hi alle miteinander, ich werde das mulmige gefühl nicht los das der trojaner oder die auf meinem pc sind, nicht meine größten probleme sind. denn als ich heute den taskmanager aufrufen wollte ging das nicht (das habe ich heute erst bemerkt da ich gestern immer über einen benutzer gegangen bin der nur eingeschränkte rechte hat und dort ging er). wenn ich dann strg+alt+entf drücke kommt immer " Der Taskmanager wurde durch den Administrator deaktiviert". Dann habe ich mal versucht die gpedit.msc auszuführen doch dann kommt "gpedit.msc konnte nicht gefunden werden. Stellen sie sicher das, sie den namen korrekt eingegeben haben und wirderholen sie den vorgang. klicken sie auf "start" und anschließent auf "suche" um eine datei zu suchen" . ich denke das mir die administrator rechte weggenommen wurden. was kann ich tun? bitte auch bei diesem problem um hilfe Mit freundlichen Grüßen knuLLte |
Scanne dein system zunächst wie beschrieben mit Escan und teile uns anschliessend die Ergebnisse mit. |
was soll ich mir auf der seite genau runterladen? |
Nimm einen der hier genannten Download Links. |
Neue Erkenntnis: Auf meinem administrator benutzer kann ich wieder den taskmanager aufrufen aber auf dem benutzer bei dem ich befallen wurde immer noch nicht, doch ist das hintergrundbild weg (das blaue mit dem schwarzen kasten und roter schrift). Mit freundlichen Grüßen knuLLte |
Das ist sehr schön, dennoch brauchen wir die Ergebnisse von Escan. |
Ich bin mir nicht sicher , ob das das ist was ihr sehen wollt. [General] EngineType=1 [Welchia] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","","" DeleteFile1=%winsysdir%\wins\svchost.exe DeleteFile2=%winsysdir%\wins\Dllhost.exe [LovGate] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","","" Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","","" Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","","" DeleteFile1=%winsysdir%\NetServices.exe DeleteFile2=%winsysdir%\RAVMOND.EXE DeleteFile3=%winsysdir%\RAVMOND.EXE DeleteFile4=%winsysdir%\WinGate.exe DeleteFile5=%winsysdir%\WinDriver.exe DeleteFile6=%winsysdir%\WinHelp.exe DeleteFile7=%winsysdir%\winrpc.exe DeleteFile8=%winsysdir%\ily.dll DeleteFile9=%winsysdir%\task.dll DeleteFile10=%winsysdir%\reg.dll DeleteFile11=%winsysdir%\1.dll DeleteFile12=%winsysdir%\win32vxd.dll DeleteFile13=%winsysdir%\kernel66.dll DeleteFile14=%winsysdir%\kernel66.dll DeleteFile15=%winsysdir%\iky668.dll DeleteFile16=%winsysdir%\reg678.dll DeleteFile17=%winsysdir%\task688.dll DeleteFile18=%winsysdir%\111.dll [CodeRed] DeleteFile1=%inetpub%\scripts\root.exe DeleteFile2=%PF%\common~1\system\MSADC\root.exe DeleteFile3=%SYSTEMDIR%explorer.exe Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D [OpaServ] DeleteFile1=%SYSTEMDIR%\Tmp.ini ; this is Opaserv.M DeleteFile2=%SYSTEMDIR%\MSLICENF.COM DeleteFile3=%SYSTEMDIR%\BOOT.EXE BAT1=Autoexec.bat,MSLICENF BAT2=Autoexec.bat,BOOT.EXE [Sobig.e] DeleteFile1=%winsysdir%\cgtask.exe DeleteFile2=%winsysdir%\mmtask.exe [Winupie] DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll [Swen] DeleteFile1=%winsysdir%\SWEN*.DAT [JS.Fortnight] DeleteFile1=%PF%\sign.htm DeleteFile2=%PF%\sign.html [Novarg] DeleteFile1=%winsysdir%\shimgapi.dll [Pagabot] Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"","" [Parite.b] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"","" [Parite.a] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"","" [Adware.SeekSeek] Reg1=HKEY_CURRENT_USER\Console,UUID,"","" Reg2=HKEY_CURRENT_USER\Console,lp,"","" wenn nicht schreibt es einfach hier rein |
Zitat:
Lies die Anleitung und poste den für uns relevanten Teil! |
Ich habe euch das geschrieben, was ich für relevant halte. In meinem Bases_X Ortner ist keine mwav.log datei vorhanden desshalb habe ich eine datei geöffnet die mwav hiess und dort steht dieser text drinn. |
Zitat:
Zitat:
|
Ich hab schon nach dieser Datei gesucht (mwav.log) doch auch da schlug die suche fehl. Wie gesagt in dem Ortner gibt es eine Datei die mwav heißt doch keine .log zumindestens steht das nicht dort drann. |
Starte eScan und klicke auf "View Log". Oder lass' einfach mal die Find.bat laufen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:31 Uhr. |
Copyright ©2000-2025, Trojaner-Board