Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unaufgeforderte Websites! (https://www.trojaner-board.de/27416-unaufgeforderte-websites.html)

ricochet 08.03.2006 13:57
Unaufgeforderte Websites!
 
Hallo!

Hab ein kleines Problem. Und zwar fiel es mir letztens auf, als ich in einem Forum war und dort einen Link öffnen wollte, den jemand gepostet hat. Allerdings führte der Link nicht zur Zielseite, sondern zu google, wo schon irgendwelche Suchbegriffe eingegeben waren.
Nun hab ich gedacht, da ist irgendwas schief gelaufen, aber das ist mir jetzt auch noch auf anderen websites passiert, wenn ich da Links angeklickt hab. Da kommt dann immer die google-Seite und dann schmiert der Rechner ab!
hab Spybot, Tune-Up und Ad-Aware durchlaufen lassen, aber der Fehler wurde nicht behoben.
Hat jemand eine Ahnung, was das sein könnte??

Gruß!

BataAlexander 08.03.2006 14:00
Hallo,

poste ein HijackThis Logfile, Anleitung zur Erstellung in meiner Signatur.

Gruß

Schrulli

ricochet 08.03.2006 14:46
Logfile of HijackThis v1.99.1
Scan saved at 14:38:24, on 08.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis_199.zip\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office 11\Programs\QFSCHD110.EXE"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

So, hoffe mal, da wird jemand draus schlau:)

BataAlexander 08.03.2006 22:57
Hallo,

Zitat:
Zitat von ricochet
O17 - HKLM\System\CCS\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CCS\Services\Tcpip\..\{48AF5CD8-FF8D-4BDD-BEF3-AB42C3615845}: NameServer = 85.255.115.59,85.255.112.77
O17 - HKLM\System\CS1\Services\Tcpip\..\{2AE18042-31A2-443E-88A0-662B9F6844D3}: NameServer = 85.255.115.59,85.255.112.77
ist Dein Provider "WV Fiber"? Ansonsten im HJT fixen.
Der Rest sieht normal aus.

Gruß

Schrulli

ricochet 08.03.2006 23:52
Danke erst mal für deine Mühe! Aber ich bin nicht so der Fachmann, daher weiß ich auch nicht, ob "WV Fiber" mein Provider ist. Meinst du damit meinen Internetzugang? Ich bin bei 1&1 DSL.
Und, äh, wo hast du das mit dem "WV Fiber" gelesen? Sind die betroffenen Dateien die 017er?

BataAlexander 09.03.2006 00:00
Hallo,

die Ip´s in diesen Einträgen landen auf Servern http://www.wvfiber.net/
dieser Firma, daher die Frage.
Da Du bei 1und1 bist, fixe diese Einträge.
Und dieser
Zitat:
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
sollte auch raus, falls DU ihn nicht kennst.

Edit: Nach einem Tip von Wildone(Danke dafür :daumenhoc ), lade Dir http://www.f-secure.com/blacklight/
doppelklicke blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop (hier posten)

Gruß

Schrulli

ricochet 09.03.2006 01:01
Also ich hab erst mal die paar Sachen da gefixt und jetzt funzt es wieder! :party: Danke für die Hilfe!!! Das andere, was du noch als Edit angefügt hast, werd ich mal auch noch machen..

BataAlexander 09.03.2006 01:17
Hallo,

um sicherzugehen das alles gut ist, führe dies aber recht bald aus.
Sonst kommen die Probleme vlt. schneller wieder als uns lieb ist ;)

Gruß

Schrulli

ricochet 09.03.2006 16:01
03/09/06 15:54:38 [Info]: BlackLight Engine 1.0.33 initialized
03/09/06 15:54:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/09/06 15:54:39 [Note]: 7019 4
03/09/06 15:54:39 [Note]: 7005 0
03/09/06 15:54:45 [Note]: 7006 0
03/09/06 15:54:45 [Note]: 7011 1492
03/09/06 15:54:46 [Note]: FSRAW library version 1.7.1015
03/09/06 15:56:03 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe
03/09/06 15:56:03 [Note]: 10002 1
03/09/06 15:56:08 [Info]: Hidden file: C:\WINDOWS\system32\csjqz.exe
03/09/06 15:56:08 [Note]: 7002 32
03/09/06 15:56:08 [Note]: 7003 1
03/09/06 15:56:08 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\dmikf.exe
03/09/06 15:56:09 [Note]: 7002 32
03/09/06 15:56:09 [Note]: 7003 1
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:09 [Info]: Hidden file: C:\WINDOWS\system32\favset.exe
03/09/06 15:56:09 [Note]: 10002 1
03/09/06 15:56:10 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe
03/09/06 15:56:10 [Note]: 10002 1
03/09/06 15:56:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:18 [Info]: Hidden file: C:\WINDOWS\system32\howiper.exe
03/09/06 15:56:18 [Note]: 10002 1
03/09/06 15:56:21 [Info]: Hidden file: C:\WINDOWS\system32\sphlp32.exe
03/09/06 15:56:34 [Note]: 7002 5
03/09/06 15:56:34 [Note]: 7003 1
03/09/06 15:56:34 [Note]: 10002 1



Also das ist jetzt das von F-secure. :dummguck:

BataAlexander 09.03.2006 16:42
Hallo,

sieht aus, als hätte Wildone recht gehabt. :(
Scanne mal online

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Zitat:
Zitat von stupormundi
bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/flash/index_en.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
Gruß

Schrulli

ricochet 09.03.2006 16:56
Also ich hatte ja dann die Probleme, die F-Secure angezeigt hat, behoben. Allerdings stehen in der Logdatei immer noch die

C:\WINDOWS\system32\filesafer23.exe
C:\WINDOWS\system32\howiper.exe

Hab jetzt also die ganze Logdatei durch Online-Scanner gejagt und der sagte mir, dass nichts gefunden wurde.

BataAlexander 09.03.2006 16:58
Hallo,

nicht die LogDatei, sondern die eigentlichen Dateien hochladen.
Du kannst ganz einfach den Pfad in das Feld kopieren.

Gruß

Schrulli

ricochet 09.03.2006 17:15
Oha, alles klar! Hmm, die erste Datei konnte nur AntiVir identifizieren. Dabei hab ich doch immer den AntiVir laufen.
Als ich da mit dem Hijack-dingens gescannt hab, meinte er in der Auswertung, dass ich kein Antivirusprogramm aktiviert hab und auch keine firewall. Hab aber alles aktiviert. Da hat er sich wohl geirrt, oder?

Wildone 09.03.2006 17:21
Hallo ricochet,
du hast ein ausgewachsenes Rootkit auf deinem PC, da sich dieses sehr tief in das System eingräbt kann es nicht ohne weiteres mit Gewißheit beseitigt werden. Um das System wieder in einen vertrauenswürdigen Zustand zu versetzen solltest du Formatieren und Neuaufsetzen.
Eine Anleitung wie du dabei und bei der anschließenden Absicherung vorgehen solltest findest du hier.



Grüße Wildone

ricochet 09.03.2006 17:31
Oh shit. Woran siehst du das jetzt genau? Und das krieg ich so nicht weg? So ein Mist, dabei hab ich doch erst letztens den Rechner platt gemacht.
Komischerweise hatte ich danach, als ich XP neu drauf gemacht hab, neben C: noch die Partition D:, die aber noch nicht formatiert ist.
Kann ich diverse wichtige Dateien nach D: verschieben, bevor ich C: platt mache und dann XP neu drauf mache?

Achso, und was ist ein Rootkit?

Wildone 09.03.2006 17:37
Hallo,
also ich sehe es an dem Ergebnis von F-Secure Blacklight, der ausschließlich dafür da ist Rootkits zu entdecken. Weiterführendes zu Rootkits hier oder hier.
Und ja du kannst Dateien nach D:\ rüberschieben und dann nur C:\ formatieren, aber achte darauf das keine ausführbaren Dateien darunter sind (exe, scr, com, pif...) diese könnten das System wieder infizieren.



Grüße Wildone

ricochet 09.03.2006 17:57
Ok, alles klar. hab mir noch dies und jenes durchgelesen und werde zur tat schreiten :balla:

Also danke noch mal für eure Hinweise und Vorschläge! Wenn alles wieder fit ist, poste ich hier wieder :dummguck:

ricochet 10.03.2006 14:41
Hi!

Also ich hab jetzt alles wieder neu druff gemacht. Nun werd ich ma zusehen, meinen PC noch n bissl resistenter zu machen (soweit das geht :balla: )
Also danke noch mal....und bis bald :D


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131