Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hacktool.Rootkit (https://www.trojaner-board.de/30302-hacktool-rootkit.html)

P@t 01.07.2006 17:33
Hacktool.Rootkit
 
Hallo zusammen!

Wir haben gerade den Norton durch die Dateien gejagt und mussten mit Erschrecken feststellen, dass wir wohl einen Trojaner haben! Norton kann ihn nicht reparieren, sollte ich ihn erste einmal isolieren?

Wie gefährlich ist dieser Trojaner für uns?
Was macht er mit meinen persönlichen Kennwörtern usw.

Vor allem was muss ich nun tun?
Bitte helft mir weiter, denn damit bin ich masslos überfordert!
Danke schon mal im Voraus!
Liebe Grüße P@t

Yopie 01.07.2006 17:41
Zitat:
Die 7 goldenen Regeln im Trojaner-Board:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

2. Wenn Du Dein Problem im Board schildern willst, poste es genau einmal. Fallen Dir danach wichtige Details ein, editiere und ergänze Dein Posting, anstatt ein neues zu erstellen. Mehrfach- und Crosspostings landen in der Mülltonne.

3. Wähle einen aussagekräftigen Titel, der Dein Problem kurz und klar zusammenfaßt. Titel wie "hüllfääää ... überall viren!!!" führen dazu, daß Dein Posting ignoriert wird.

4. Schreibe in verständlichem Deutsch und in ganzen Sätzen. Vergiß nicht: Dies ist ein Forum, kein Chat. Du hast Zeit! Beseitige Fehler, bevor du Deinen Beitrag erstellst. Hältst Du Dich nicht an diese Regel, kannst Du keine hilfreichen Antworten erwarten.

5. Beschreibe Dein Problem genau und nenne alle erforderlichen Details. Dazu gehören Dein Betriebssystem, wortgetreue Wiedergaben von Fehlermeldungen, und Pfadangaben bei Schädlingsbefall. Fehlen diese Angaben, kann Dir niemand helfen.

6. Lies die Hinweise der Helfer sorgfältig und befolge sie. Verstehst Du etwas nicht, frage höflich nach. Hast Du Dein Problem erfolgreich gelöst, melde Dich. Vergiß nicht, Dich zu bedanken. Deine Helfer werden es nicht vergessen.

7. Zu guter Letzt: Zitiere externe Quellen immer mit Quellenangabe, da Du sonst das Team in rechtliche Schwierigkeiten bringst. Bei Nichtbeachtung dieser Regel werden entsprechende Postings kommentarlos gelöscht.
==> Die genaue Meldung des AV-Programms inkl. Datei- und Pfadangabe des Fundes posten!

Außerdem poste mal ein Hijackthis-Logfile, Anleitung in der Signatur beachten!

Gruß :daumenhoc
Yopie

P@t 01.07.2006 17:58
Sorry!
Bin ziemlich von der Rolle.......

Also bei Norton steht noch:

uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 18:47:30, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\PROGRA~1\NORTON~1\navw32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Neuer Ordner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ****//g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://***.versatel.de/internet-cd/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.100
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nod32CC] "C:\WINDOWS\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {799A36F8-648E-4F5E-9122-6B141E0C6E00} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe
O9 - Extra button: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra 'Tools' menuitem: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - ***://***.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=ht**://w*w.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - h**p://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - ht**://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - h**p://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
So ich hoffe ich habe das nun richtig gemacht! Ist für mich schließlich das erste Mal! Falls nicht.........bitte um Aufklärung! Dankeschön!
LG P@t

Yopie 01.07.2006 18:11
Zitat:
Zitat von P@t
[B]uxywucfj.ouo als Element und als Virenname halt "Hacktool Rootkit"
Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß :daumenhoc
Yopie

P@t 01.07.2006 18:54
Zitat:
Zitat von Yopie
Kein Ordnername?

Dann mach mal einen eScan, und poste die Funde mit der find.bat. Anleitung in der Sig genau beachten!

Gruß :daumenhoc
Yopie
Also für den eScan bin ich anscheinend nicht geboren! Habe es die ganze Zeit probiert........:schmoll:

P@t 01.07.2006 19:07
Doch jetzt klappt es........
Melde mich gleich wieder

LG P@t

Gleich *haha*
er scannt jetzt schon eine Stunde........ aber das was ich da sehe oh oh

P@t 01.07.2006 22:01
Puh..........jetzt bin ich aber echt überfordert.......also das habe ich nun herausgefunden:

Zitat:
Sat Jul 01 22:04:33 2006 => Gescannte Dateien: 78801
Sat Jul 01 22:04:33 2006 => Gefundene Viren: 122
Sat Jul 01 22:04:33 2006 => Anzahl der desinfizierten Dateien: 0
Sat Jul 01 22:04:33 2006 => Umbenannte Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl der gelöschten Dateien: 0
Sat Jul 01 22:04:33 2006 => Anzahl Fehler: 70
Sat Jul 01 22:04:33 2006 => Dauer des Scans bisher: 01:59:46
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Datum: 6/28/2006
Sat Jul 01 22:04:34 2006 => Virus-Datenbank Zähler: 203358

Zitat:
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:10 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Jul 01 20:06:10 2006 => System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\zlbw.dll
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (zlbw.dll)! Action taken: Keine Aktion vorgenommen.
6:14 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\microsoft\installer\{0d5447ee-fec6-49b2-9367-ed5cfb87d436}\uninstal.exe
Sat Jul 01 20:06:14 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\ebay.url
Sat Jul 01 20:06:17 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.

Sat Jul 01 20:06:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
Sat Jul 01 20:06:41 2006 => Object "wareout Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Sat Jul 01 20:33:02 2006 => Scanne Ordner: C:\Programme\ESET\infected\*.*
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQF
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\2L1N0RBA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\BRYSXMAA.NQF infiziert von "Trojan-Downloader.Win32.Small.akz" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\BRYSXMAA.NQI
Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQF
Sat Jul 01 20:33:02 2006 => Datei C:\Programme\ESET\infected\FERPQWCA.NQF infiziert von "Trojan.Win32.Dialer.ht" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Sat Jul 01 20:33:02 2006 => Scanne Datei C:\Programme\ESET\infected\FERPQWCA.NQI
Was hat das zu bedeuten........

Also ich habe nun den Durchblick verloren :headbang:
HILFE!!!!!!!!!!:crazy:

Vielleicht sollte jemand sich diese MWAV.LOG mal näher ansehen..........denn mit diesem Bat-dings bin ich nicht klargekommen!

P@t 02.07.2006 14:12
:dummguck:
Hallo?
Habe ich was falsch gemacht?

cronos 02.07.2006 15:02
Poste das Ergebnis mal mittels der in der Anleitung beschriebenen Find.bat-Datei.

Yopie 02.07.2006 18:18
Da du es weder schaffst, die Pfadangabe des Fundes von Norton zu posten noch die Anleitung von eScan zu befolgen (und da deine Probleme nicht näher angibst), kann zumindest ich dir nicht weiter helfen. Nicht böse gemeint, aber vielleicht gibts im Bekanntenkreis jemanden, den die Anleitungen nicht überfordern?

In dem Log von eScan ist einiges, was nicht so toll ist ( http://siri.urz.free.fr/Fix/SmitfraudFix_De.php kann dir dabei evtl. weiterhelfen!), aber von Hacktool keine Spur.

Gruß :daumenhoc
Yopie

P@t 02.07.2006 18:33
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:05 2006 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:10 2006 => System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:11 2006 => System found infected with smitfraud Browser Hijacker (zlbw.dll)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:14 2006 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: Keine Aktion vorgenommen.
Sat Jul 01 20:06:17 2006 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Jul 01 20:06:10 2006 => Offending file found: C:\WINDOWS\system32\svcp.csv
Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\winsub.xml
Sat Jul 01 20:06:11 2006 => Offending file found: C:\WINDOWS\system32\zlbw.dll
Sat Jul 01 20:06:14 2006 => Offending file found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\microsoft\installer\{0d5447ee-fec6-49b2-9367-ed5cfb87d436}\uninstal.exe
Sat Jul 01 20:06:17 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Desktop\ebay.url
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Jul 01 20:06:41 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cyberlink\powerdvd\ipower\images\hd
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


So ich hoffe das es nun richtig ist, denn nicht jeder schläft mit einem Computerhandbuch unter dem Kopfkissen! Würde mich jeden falls freuen wenn ihr auch Computerdummies *so wie ich es bin* weiterhelft!

Yopie 02.07.2006 18:36
Keine Spur von Hacktool.Rootkit. Vielleicht solltest du nochmal mit Norton scannen und dann die genaue Meldung inkl. Pfadangabe posten.

Du kannst aber http://siri.urz.free.fr/Fix/SmitfraudFix_De.php auf jeden Fall mal anwenden.

Gruß :daumenhoc
Yopie

P@t 02.07.2006 18:40
Zitat:
Da du es weder schaffst, die Pfadangabe des Fundes von Norton zu posten noch die Anleitung von eScan zu befolgen (und da deine Probleme nicht näher angibst), kann zumindest ich dir nicht weiter helfen. Nicht böse gemeint, aber vielleicht gibts im Bekanntenkreis jemanden, den die Anleitungen nicht überfordern?
Ich hatte auch erst gefragt ob ich isolieren soll und da habe ich keine Antwort erhalten, heute habe ich dann isolíert und folgendes steht dann da


Zitat:
uxywucfj.ouo

Typ: OUO-Datei
Ablageort: C:\WINDOWS\system32
Größe: 14.6 KB
Virenname:Hacktool.Rootkit
Probleme habe ich persönlich noch keine feststellen können, nur mein Mann meinte er käme aus Ebay nicht mit der Zurücktaste raus! Dann werden mir unten in der Leiste immer irgendwelche Updates [die angeblich gedownloadet werden] angezeigt aber es bleibt immer auf 0%!

Mehr fällt mir jetzt nicht ein......

Yopie 02.07.2006 18:50
Zitat:
Zitat von P@t
Ich hatte auch erst gefragt ob ich isolieren soll und da habe ich keine Antwort erhalten
Weil man dir ja schlecht ins blaue hinein irgendwas raten kann. Fehlalarme können schließlich vorkommen.

Zitat:
uxywucfj.ouo

Typ: OUO-Datei
Ablageort: C:\WINDOWS\system32
Größe: 14.6 KB
Virenname:Hacktool.Rootkit
Wenn es kein Fehlalarm ist, solltest du formatieren und neu aufsetzen.

Du kannst, um einen Fehlalarm auszuschließen, die Datei auch mal Online unter http://virusscan.jotti.org/de/ prüfen (evtl. etwas warten, evtl. Datei aus der Quarantäne wieder rausholen...) und die Ergebnisse posten.

Zitat:
Dann werden mir unten in der Leiste immer irgendwelche Updates [die angeblich gedownloadet werden] angezeigt aber es bleibt immer auf 0%!
Du kannst das Windowsupdate auch unter http://windowsupdate.microsoft.com/ ausführen.

Gruß :daumenhoc
Yopie

P@t 02.07.2006 19:32
Logfile of HijackThis v1.99.1
Zitat:
Scan saved at 20:30:11, on 02.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\Mixer.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\****\Eigene Dateien\Neuer Ordner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 192.168.0.100
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL (file missing)
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [DInfoSetup] C:\Programme\D-Info2002\SDinfo.exe /INIKEY
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Nod32CC] "C:\WINDOWS\system32\nod32cc.exe" -DONTSHOW
O4 - HKLM\..\Run: [Amon] "C:\Programme\Eset\amon.exe"
O4 - HKLM\..\Run: [mmtask] C:\Programme\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [InversMonitor] "C:\Programme\klickTel\klickInvers Frühjahr 2005\KMON.EXE" /MONITOR
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: BINGOOO - {799A36F8-648E-4F5E-9122-6B141E0C6E00} - C:\Programme\D-Info2002\Bingooo\BINGOOO.exe
O9 - Extra button: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra 'Tools' menuitem: Web Inspector - {8C482949-E656-42F7-A635-111111111111} - C:\Programme\LMD Innovative\Web Inspector\WISCRIPT.HTM (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Gibt es schon einen Unterschied zum ersten Logfile?

irrlicht 02.07.2006 20:30
Hallo P@t,
dann werde ich dir jetzt mal ein paar Aufgaben geben...;)
Du hast Spybot Search & Destroy.Starte es.Oben im Kopf findest du den Reiter "Modus".Stelle auf "erweiterter Modus".Unten links erscheint jetzt eine Rubrik mit "Werkzeuge",klicke das.Suche dir "Active X",klicke es.Im Fenster kannst du die einzelnen Einträge anklicken.Suche diese beiden und entferne es :
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0528e2ec6239e565be06/netzip/RdxIE601_de.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
Sind Spione,die keiner braucht.
Immer noch Spybot.Klicke auf der linken Seite "Resident",entferne beide Haken.Die stören uns sonst.
Programm schließen.
Unter Start>Systemsteuerung>Software ,suchst du ob du was finden kannst mit dem Namen SinEspias.Lösche das.Ist ein Möchtegern-Spyware-Scanner.Taugt nix,bringt nix.
Läßt es sich in "Software" nicht finden,machst du folgendes :
Start>Arbeitsplatz>lokaler Datenträger C >Programme.Dort suchst du nach diesem :
O4 - HKLM\..\Run: [SpionFrei] "C:\Programme\SinEspias\No-Spy.exe" /autorun
O4 - HKLM\..\Run: [Sin Espias] C:\Programme\SinEspias\No-Spy.exe /autorun
Alles das SinEspias im Namen trägt,löschen.
Nun nimmst du Google zu Hilfe und suchst dir folgende Programme zusammen :
Ewido Security Suite
AdAware Personal free >Firma heißt Lavasoft
Regsseker
Clear Prog 1.4.1 final
Lade es von den Originalseiten.
Ewido und AdAware sowie Spybot installieren und updaten.Das ist wichtig.
Nun deaktivierst du die Systemwiederherstellung :
Start>Systemsteuerung>Leistung und Wartung.Links den Reiter "systemwiederherstellung"klicken >systemwiederherstellungseinstellungen klicken.Haken rein bei "systemwiederherstellung auf allen Laufwerken deaktivieren.
Jetzt wechselst du in den "abgesicherten Modus" :
Kiste ausschalten >anschalten,dabei die Taste F8 gedrückt halten.
Es erscheint ein Auswahlfenster.Du wählst "abgesicherter Modus".Aber nur den ! Nix anderes !
Es dauert etwas und du mußt nicht erschrecken,das Bild ist normal so.
Nun startest du Ewido,AdAware und Spybot in beliebiger Reihenfolge.
Wähle "Fullscan" oder "Komplettcheck" oder wie immer das heißen mag.
Lösche was gefunden wird,keine Quarantäne oder verschieben,nein Löschen !
Zurück in den Normalmodus :Ganz normal ausschalten und anschalten wie immer.Das alte gewohnte Bild erscheint wieder.
Starte Regsseker,wähle die Sprache und klicke "Registrierung säubern" Lösche was gefunden wird,wiederhole das so oft bis nix mehr angemeckert wird.
Starte Clear prog,setze alle Haken die möglich sind und lösche was gefunden wird.
Du bist fertig.
erstelle ein neues Hijack-Log und einen neuen EScan und poste beide hier.
Irrlicht

P@t 02.07.2006 21:32
Zitat:
Hallo P@t,
dann werde ich dir jetzt mal ein paar Aufgaben geben...
Danke!
Da habe ich jetzt was zu tun!
Das sind doch mal Aussagen......super Irrlicht!!
Melde mich wieder!

:bussi:


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19