Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   raze spyware und flackerbildschirm (https://www.trojaner-board.de/28244-raze-spyware-flackerbildschirm.html)

maggie_BCN 10.04.2006 18:28

raze spyware und flackerbildschirm
 
habe die ganze arie mit rotem bildschirm und spywareflackern hinter mir. geblieben ist der von weiss nach grau blinkende desktop. saemtliche weiteren reinigungsvorgaenge im system sind fehlgeschlagen. mit kilometerlangen logfiles, abesicherten moden, mehr hin- und hergeinstalliere (was im endeffekt auch zu nichts fuehrt, wie mich die eingehende lektuere auf unzaehligen foren gelehrt hat) moechte ich mich nicht befassen, bin dazu auch nicht firm genug.

zum thema desktop anpassen: es gibt definitiv den REITER WEB in meiner xp home edition einfach nicht, so dass ich ihn auch nicht an- bzw. wegklicken kann. habe in der registry bereits zwei dateien geloescht. eine hiess: nochangingwallpaper (oder so aehnlich), die andre blablablahtmlwallpaper (selbstverstaendlich alles ohne back-up, ich bin eh schon am ende mit den nerven), jedenfalls war der valor auf null gesetzt, aber egal, hau wech den scheiss.

so - und nun blinkts also froehlich weiter vor sich hin. weiss grau weiss grau weiss grau.

hat jemand eine idee, wie ich ohne weiteren riesenaufwand aus der nummer rauskomme?

antivir, zonealarm ... trotzdem ists passiert. auch ein heutiges scannen mit ad-aware fuehrte zu keinem ergebnis. tmp dateien habe ich auch bereits radikal eliminiert. fuer smitrem muss man schon wieder anstrengungen unternehmen (abgesicherter modus etc. wat weiss ich nicht alles), KAAAAAAAAAAIN boggauf. und kann ich auch nicht. feddich.

als denn, dank im voraus und prost :party:

BataAlexander 10.04.2006 19:57

Hallo,

gehen wor mal sortierter vor, poste ein HijackThis Logfile, die Anleitung dazu ist in meiner Signatur verlinkt.

Gruß

Schrulli

irrlicht 10.04.2006 20:00

Hallo,
Zitat:

wie mich die eingehende lektuere auf unzaehligen foren gelehrt hat) moechte ich mich nicht befassen,
Gute Einstellung !
Nur nix lesen,wird schon einer kommen der es vorkaut......
'
Zitat:

fuer smitrem muss man schon wieder anstrengungen unternehmen (abgesicherter modus etc. wat weiss ich nicht alles), KAAAAAAAAAAIN boggauf. und kann ich auch nicht. feddich.
Dann leb mit deinem weiß-grauen Bildschirm...
Dir zu helfen >Kaaain Bock drauf !
Feddich !
Irrlicht

maggie_BCN 10.04.2006 20:31

irrlicht, irrlicht, sehr helle scheints du mir aber nicht zu sein. du hast meinen beitrag offensichtlich nur sehr oberflaechlich gelesen. und wenn du keine lust hast, dich mit mir und meinem problem zu befassen, warum verschwendest du dann deine wertvolle zeit mit miesepetrigen ansagen? ich habe, ganz im gegensatz zu deiner voreiligen unterstellung, den ganzen tag damit zugebracht, mir jedwede information zu gemuete zu fuehren, bis mir der kopf rauchte (siehe auch: eingehende lektuere in foren ...)
vielleicht solltest du dir mal ein warmes bad goennen, damit deine negativen energien abfliessen koennen. good luck!

BataAlexander 10.04.2006 20:34

Hallo,

geht das mit dem HJT Logfile bei Dir, hast Du die Anleitung gefunden?

Gruß

Schrulli

maggie_BCN 10.04.2006 20:37

Zitat:

Zitat von Schrulli
Hallo,

gehen wor mal sortierter vor, poste ein HijackThis Logfile, die Anleitung dazu ist in meiner Signatur verlinkt.

Gruß

Schrulli


hier isses nu:
Logfile of HijackThis v1.99.1
Scan saved at 21:34:48, on 10/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\Archivos de programa\Power Manager\PM.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Yahoo!\Messenger\ypager.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
C:\Documents and Settings\Maggie\Mis documentos\Programas\PalmOne\HOTSYNC.EXE
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Maggie\Mis documentos\Programas\Registry Cleaner\hijackthis\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://es.yahoo.com/fsc/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://es.yahoo.com/fsc/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PowerManager] C:\Archivos de programa\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 10 run
O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: HotSync Manager.lnk = C:\Documents and Settings\Maggie\Mis documentos\Programas\PalmOne\HOTSYNC.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Archivos de programa\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Archivos de programa\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - h**p://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{0424C658-3795-4265-96F1-AFED96E48577}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{246A0E2C-411D-42C9-883E-D53BA2C72F6F}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D8D97E1-933F-4428-B599-F503D0874783}: NameServer = 85.255.115.70 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5005C5-CA23-45C8-9DA0-3AB4F1109910}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D187A71-D668-4901-93A6-80AB2F222088}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

BataAlexander 10.04.2006 20:42

Hallo,

fixe folgende Einträge:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{0424C658-3795-4265-96F1-AFED96E48577}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{246A0E2C-411D-42C9-883E-D53BA2C72F6F}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D8D97E1-933F-4428-B599-F503D0874783}: NameServer = 85.255.115.70 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5005C5-CA23-45C8-9DA0-3AB4F1109910}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D187A71-D668-4901-93A6-80AB2F222088}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138

scanne Dein System mit Blacklight und poste das Ergbnis hier.

Gruß

Schrulli

chaosman 10.04.2006 20:47

Hallo maggie_BCN,
deine O17 Einträge weisen hin auf einen ukrainischen Provider....
Überprüfe dein System mit escan
Es ist viel Arbeit, aber es lohnt sich meistens.
Überprüfe dein System auch mit blacklight und rootkitrevealer

poste bitte die Ergebnisse.
Falls dir das zu viel ist, dann setze dein Rechner lieber gleich neuauf(geht schneller)
Hier eine anleitung

chaosman
Edit Hi Schrulli :party:

maggie_BCN 10.04.2006 20:55

Zitat:

Zitat von Schrulli
Hallo,

fixe folgende Einträge:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{0424C658-3795-4265-96F1-AFED96E48577}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{246A0E2C-411D-42C9-883E-D53BA2C72F6F}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D8D97E1-933F-4428-B599-F503D0874783}: NameServer = 85.255.115.70 85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B5005C5-CA23-45C8-9DA0-3AB4F1109910}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\..\{9D187A71-D668-4901-93A6-80AB2F222088}: NameServer = 85.255.115.70,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{0073CD3B-744A-4C09-8802-F4A443DBB509}: NameServer = 85.255.115.70,85.255.112.138

scanne Dein System mit Blacklight und poste das Ergbnis hier.

Gruß

Schrulli

habe fix gefixt ... der scan laeuft ... no hidden items found. wie so oft schon hoite ...

maggie_BCN 10.04.2006 20:59

Zitat:

Zitat von chaosman
Hallo maggie_BCN,
deine O17 Einträge weisen hin auf einen ukrainischen Provider....
Überprüfe dein System mit escan
Es ist viel Arbeit, aber es lohnt sich meistens.
Überprüfe dein System auch mit blacklight und rootkitrevealer

poste bitte die Ergebnisse.
Falls dir das zu viel ist, dann setze dein Rechner lieber gleich neuauf(geht schneller)
Hier eine anleitung

chaosman
Edit Hi Schrulli :party:

oje, die russenmafia. danke fuer die vorschlaege. muss mich erstmal mit dem begriff 'neu aufsetzen' vertraut machen. falls es sich dabei um hoehere computermathematik handelt, werd ich wohl, wie von irrlicht freundlich empfohlen, mit meinem weiss-grauen desktop weiterleben.

maggie_BCN 12.04.2006 10:35

hi chaosmann,

habe nun escan laufen lassen ... rausgekommen ist ein dreitausend seiten langes log ... immerhin wurden infizierte entdeckt ... ein vorgeschmack hier:

Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ace club casino Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "powerreg scheduler Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "powerreg scheduler Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "powerreg scheduler Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{CC021232-C5D0-43AC-A787-0EF8A35881B3}\RP78\A0018166.exe infected by "Trojan.Win32.Small.hl" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{CC021232-C5D0-43AC-A787-0EF8A35881B3}\RP78\A0018212.exe infected by "Trojan-Downloader.Win32.Zlob.kn" Virus! Action Taken: No Action Taken.
File C:\System Volume Information\_restore{CC021232-C5D0-43AC-A787-0EF8A35881B3}\RP78\A0018238.exe infected by "Trojan-Downloader.Win32.Zlob.gn" Virus! Action Taken: No Action Taken.

gruss, maggie

soll ich vielleicht irgendwas mit pestpatrol und clean up und norton tool und abgesichertem modus machen und loeschen des mwav.log machen ... hinfe hinfe, eine fniege ist mir in den hans gefnogen ... dank im voraus.

maggie_BCN 12.04.2006 12:36

so, nach pestpatrol und loeschaktion blieben mir bei erneutem e-scan schon mal ein paar weniger boesewichte ueber, der log ist diesmal dafuer sechstausend seiten lang. muss das denn sein? mein flackerbildschirm in weiss-grau hat sich nach wie vor leider nicht zurueckverwandelt - trotz abgestellter systemwiederherstellung wie angegeben. andre offensichtliche stoerungen beim computergebrauch haben sich nicht gezeigt.

2. scan vorgeschmack
Object "ezula Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "ace club casino Spyware/Adware" found in File System! Action Taken: No Action Taken.
Object "autostartup Spyware/Adware" found in File System! Action Taken: No Action Taken.

total errors 6

gruss, maggie


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:37 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27