Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   URLMon.exe und manager.exe (https://www.trojaner-board.de/40721-urlmon-exe-manager-exe.html)

maxiking69 08.07.2007 13:10

URLMon.exe und manager.exe
 
bin neu hier aber vielleicht kann mir wer helfen
nach diversen versuchen eine eigene lösung für mein problem zu finden:spybot SD, MS Tool zum entfernen bösartiger Software, AVG Internet security; Adaware prof., Uniblu Spyeraser, Trojan Remover 2007 Professional, Hijack This und F-Secure Anti Rootkit bin ich doch auf eure Hilfe angewiesen!

wäre zu großem dank verpflichtet

zuallererst mein system:
OS: Win Vista Home Premium
CPU: Intel Dualcore E4300
RAM: 1 GB
Firewall: Win Vista Firewall
Antivirus: AVG Internet Security und diverse Antispyware Programme: spybot SD, MS Tool zum entfernen bösartiger Software, Uniblu Spyeraser, Trojan Remover 2007 Professional, Hijack This und F-Secure Anti Rootkit.Besitz auc die Sysinternals Suite falls wer die Log Files zur Auswertung braucht!

Hätte durch Family und Friends auch die Möglichkeit "Kaspersky", "NOD 32", "Panda Internetsecurity" und "Bitdefender 10 zu benutzen", wäre aber sehr umständlich.
Router: Fritzbox 7170

mein problem:
Spybot SD hat heute Backdoors Trojaner entdeckt, 2x Schwierigkeiten diese zu entfernen aber letztendlich geschafft (?). Nach diversen Scans mit oben genannter Software zeigt mir der Taskmanager 2 neue Prozesse die ich früher nicht hatte (sicher nicht!),
nämlich: 2x_ "manager.exe" und_ "URLMon.exe", und bei den Eigenschaften von beiden sehe ich das beide heute erstellt worden sind, genauso wie die von Spybot entfernten Trojaner, nämlich "retadpu2000352", Virtumonde: C:\Windows\wr.txt, Registry Einträge von Statcounter.
Bin ich gefährdet? Kann ich die 2 Sachen löschen.

Nach einem FIX nuester Logfile von Hijack this:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 12:18:44, on 08.07.2007
Platform: Windows Vista (WinNT 6.00.1904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Grisoft\AVG7\avgcc.exe
C:\Windows\System32\drivers\setup\manager.exe
C:\Windows\System32\drivers\setup\manager.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\taskmgr.exe
C:\Windows\System32\drivers\setup\urlmon\urlmon.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Users\chefsache\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=56626&homepage=http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = achtung_ich bin online
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"
O4 - HKCU\..\Run: [manager] "C:\Windows\System32\drivers\setup\manager.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgrssvc.exe
O23 - Service: gearsec - GEAR Software - C:\Windows\system32\gearsec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XI.SP1\RpcSandraSrv.exe

--
End of file - 6530 bytes


mfg und dank im voraus

Win32/Jeefo 08.07.2007 13:56

C:\Windows\System32\drivers\setup\urlmon\urlmon.exe


C:\Windows\System32\drivers\setup\manager.exe


Bei Virustotal überprüfen, Link in meiner Signatur. Einfach ins weiße Kästchen einfügen und "Send" betätigen. Auswertung abwarten und abkopieren, wenn sie beendet ist. Sie ist beendet, wenn der "Status" auf "Finished" steht.


Lade dir danach den Vundofix. Link in meiner Signatur. "Scan for Vundo" -> Abwarten. Infizierte Dateien müssten erscheinen -> "Remove Vundo" ( PC müsste eigentlich neu starten.

Downloade dir den "Winsockfix". Öffne ihn und drücke auf "Fix". Abwarten. Dein PC müsste sich neu starten.


neues Hijackthis-Log erstellen und hier posten.

maxiking69 08.07.2007 21:07

allererst danke für deine hilfe und unterstützung
hab deine ratschläge befolgt, aber es ist so das es nichts gebracht hat, dateien sind angeblich nicht verseucht, aber ich weiss das diese 2 sachen nicht von mir und durch kein update hergestellt wurden.
meine befürchtung im detail ist nämlich die das dieser urlmon meine internetgewohnheiten komplett dokumentiert
habe aus dem ordner bereits mehrere textdateien gelöscht deren inhalt meine besuchten adressen vom heutigen tag waren und eine liste mit 7adressen die als ich sie aufgerufen habe mich alle zu einer site geführt haben wo nur dieser text ist: "it is working".
man kann das für paranoia halten aber ich bin mir sicher das was nicht stimmt.
vor allem da spybot mir heute das erste mal solche sachen wie backdoors und keylogger gemeldet hat, leider weiss ich den namen nicht mehr aber es war auch so eine sache dabei die er so beschrieben hat: software die sich selbst installiert hat und systemabstürze verursacht oder bluescreens und einen dann auf einen angeblichen virus hinweist den es aber selbst installiert hat um einem dann eine 20euro teure software zu verkaufen.

mfg und danke

soldier 09.07.2007 03:43

mit sicherheit hastt du einen keylooger drinn der dokumentiert alles was du eintipps und co. also versuchs mal mit a-squared der findet malware keylooger und alle schädlinge aber er ersetz nicht deinen anti virus er arbeitet mit ihm kann man sagen und nachdem du die gefährlichen sachen gelöscht hast den ändere schnellsten deine passwörter

mfg

edit: poste deine neuste hijsckthis logs damit hier die profis genaueres sagen können=)

cosinus 09.07.2007 04:07

Zitat:

Zitat von soldier
also versuchs mal mit a-squared der findet malware keylooger und alle schädlinge aber

Hör auf hier so einen Unsinn zu verbreiten. Kein Virenscanner kann mit Sicherheit ALLE Schädlinge auf einem kompromittierten System finden, also schreib bitte nicht dass A² sowas könnte.
Übrigens ist es ziemlich sinnlos auf dem verseuchten System seine Passwörter zu ändern - bevor du das machst, muss du erstmal sicherstellen, jegliche Spionagekomponente entfernt zu haben, wenn nicht verkommt jede PW-Änderung zur Farce und man kann es sich sicherheitstechnisch gesehen dann gleich schenken.

soldier 09.07.2007 20:14

wer sagt den das ich gesagt habe das er ALLE schädlinge findet den ein oder anderen keylogger wird der schon finden

Franz1968 09.07.2007 20:20

Du selbst sagst das.
Zitat:

Zitat von soldier (Beitrag 278641)
also versuchs mal mit a-squared der findet malware keylooger und alle schädlinge

- scnr -

maxiking69 09.07.2007 21:41

leute,leute nicht streiten wegen kleiner ausdrucksfehler bzw. schwierigkeiten
habe das problem in erster instanz gelöst
das heisst: Name Troj/Agent-DSF
Typ * Trojaner

* Installiert sich in der Registrierung

* "Hinterlässt nicht infizierte Dateien auf dem Computer" - und genau das war das problem mit allen erkennungsdiensten, denn alle tips,die sicher sehr gut sind, haben mir leider nicht geholfen da kein virenscanner reagieren hätte können bis angeblich auf "sophos"!
habe datei gefunden - gelöscht und kann jetzt nur weiter scannen und schauen ob sich die gleichen anomalien wieder einschleichen
apropos_übeltäter war mein junior da dies ein family-pc ist und er von einem msn-kontakt eine infizierte datei erhielt und sie öffnete obwohl darauf hingewiesen wurde,vom kontakt,sie nicht zu öffnen
naja kinder! aber strafe folgte auf fuss und sein "ogame"account wurde bis "1970" in den urlaub geschickt obwohl ich ihn über die gefahr aufklärte, selbst schuld,hihihi
aber vielen dank für eure mühe und werde weiter berichten falls noch was auftaucht und ab da wo ich mir sicher bin wieder ein sauberes system zu besitzen werde ich meine passwörter ändern
mfg bye folks
:party:

soldier 10.07.2007 03:26

Zitat:

Zitat von Franz1968 (Beitrag 278847)
Du selbst sagst das.

- scnr -

DU SCHERZKEKS ICH MEINE DAMIT NICHT ALLE SONDERN ALLE ANDEREN ARTEEN VON SCHÄDLINGEN WOLLTE NICHT ALLES AUFZÄHLEN WAS MAN UNTER ALLEN SCHÄDLINGEN VERSTEHT VILLT HABE ICH MICH ETWAS FALSCH AUSGEDRÜCKT DEN MUSS DU NICHT GLEICH BEHAUPTEN DAS ICH UNSINN VERBREITE UND SRY WEGEN GROSSSCHREIBUNG HAB BEIM SCHREIBEN NICHT AUFM MONITOR GEGUCKT :heulen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:30 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131