|
Firefox Downloadmanager lädt selbstständig. Browser Hikacking Hallo! Ich habe ein Problem mit dem Rechner eines Freundes. Browser-Hijack? Ich bin auf dem Rechner über einen SSH-Tunnel über einen Router per VNC eingeloggt. Auf dem Rechner läuft W2k und er arbeitet nur mit Benutzerechten. Der Downloadmanager des Firefoxes (ver: 2.0.0.6.) lädt einfach irgendwelche Kurzfilme (mit sehr freizügigen Damen ;-) ) im Hintergrund runter. Obwohl eingestellt ist, dass er nachfragen soll wohin die Datei gespeichert werden soll, werden die Dateien nach \lokaleEinstellungen\temp gespeichert. Es sind so viele, das der Download nicht manuell gestartet werden kann! Ein Scan mit Spybot und AdAware findet nichts. Hijackthis logfile findet sich am Ende. Wie finde ich das Teil und werde es wieder los ? Was bezweckt bitte ein Programm dieser Art? Wenn der Recher für irgendweche Dinge misbraucht werden soll, sollte sich der Rechner unauffällig verhalten und wenn es ein Dialer ist, ist es recht sinnlos, weil es sich um einen ADSL-Anschluss handelt und auch nirgendwo angegeben wird, wo man ein Abo oder so abschließen kann. Somit kann ich nicht nachvollziehen was der Zweck davon ist !? Logfile of HijackThis v1.99.1 Scan saved at 11:15:47, on 10.09.2007 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\Explorer.EXE C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\fli4l\Imonc.exe C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - Startup: Verknpfung mit Imonc.lnk = C:\Programme\fli4l\Imonc.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O15 - Trusted Zone: h**p://www.pandasoftware.com O15 - Trusted Zone: h**p://www.pdg-lineos.com O16 - Trusted Zone: h**p://*.pdg-lineos.com O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Verwaltungsdienst fr die Verwaltung logischer Datentrger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) |
Zitat:
Du hast also eine Verbindung von deinem Netzwerk/Arbeitsplatz zu dem deines Freundes hergestellt um über die Fernwartungssoftware VNC sein System zu konfigurieren bzw. zu warten. Richtig? Zitat:
Richtig? Zitat:
Versuch es als erstes mal hiermit: ComboFix -Lade dir das Tool hier herunter -> KLICK -Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein! F-Secure Blacklight – Rootkitscanner: * Scanne dein System mit F-Secure Blacklight * Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.) Gruß Sunny |
Zitat:
Zitat:
Zitat:
Zitat:
ComboFix 07-09-10.6 - "Administrator" 10.09.2007 18:32:59.1 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.372 [GMT 2:00] . ((((((((((((((((((((((( Dateien erstellt von 2007-08-10 bis 2007-09-10 )))))))))))))))))))))))))))))) . 2007-09-10 18:31 51,200 --a------ C:\WINNT\NirCmd.exe 2007-09-10 18:31 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_27c.dat . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 30.07.07 19:19 92504 --a------ C:\WINNT\system32\cdm.dll 30.07.07 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll 30.07.07 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe 30.07.07 19:19 43352 --a------ C:\WINNT\system32\wups2.dll 30.07.07 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll 30.07.07 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll 30.07.07 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll 30.07.07 19:18 33624 --a------ C:\WINNT\system32\wups.dll 27.07.07 19:21 --------- d-------- C:\Programme\Vim 27.07.07 19:18 --------- d-------- C:\Programme\kav 26.06.07 11:57 235280 --a------ C:\WINNT\system32\GDI32.DLL 21.11.06 16:56 271 ---h----- C:\Programme\desktop.ini 21.11.06 16:56 22080 ---h----- C:\Programme\folder.htt 10.12.99 14:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys 10.09.07 11:15 --------- d-a------ C:\Programme\Spamihilator 07.06.07 08:50 1119232 --a------ C:\WINNT\system32\msxml3.dll 05.09.07 18:38 --------- d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Synchronization Manager"="mobsync.exe" [19.06.03 13:05 C:\WINNT\system32\mobsync.exe] "Matrox PowerDesk SE"="c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe" [30.01.06 23:58 ] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [06.09.07 08:19 ] "Logitech Utility"="Logi_MwX.Exe" [17.12.03 10:50 C:\WINNT\LOGI_MWX.EXE] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "fli4l"="C:\Programme\fli4l\Imonc.exe" [25.08.04 23:44 ] "Spamihilator"="C:\Programme\Spamihilator\spamihilator.exe" [24.01.07 15:49 ] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys] @="Driver" R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys R3 G400DH;G400DH;C:\WINNT\system32\DRIVERS\g400dhm.sys R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-09-10 18:33:42 Windows 5.0.2195 Service Pack 4 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 10.09.2007 18:34:09 . --- E O F --- Zitat:
09/10/07 18:38:26 [Info]: BlackLight Engine 1.0.64 initialized 09/10/07 18:38:26 [Info]: OS: 5.0 build 2195 (Service Pack 4) 09/10/07 18:38:26 [Note]: 7019 4 09/10/07 18:38:26 [Note]: 7005 0 09/10/07 18:38:31 [Note]: 7006 0 09/10/07 18:38:31 [Note]: 7011 816 09/10/07 18:38:32 [Note]: 7026 0 09/10/07 18:38:32 [Note]: 7026 0 09/10/07 18:38:33 [Note]: FSRAW library version 1.7.1022 09/10/07 18:43:35 [Note]: 7007 0 Zitat:
Gruß derDude79 |
Die Rootkitscanner haben mir auch keine befriedigenden Ergebnisse gebracht, keinerlei Anzeichen von Backdoor´s oder versteckten Roots. Mach bitte mal noch folgendes: Filelist 1. Lade das filelist.zip auf deinen Desktop herunter. 2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei 3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen 4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein. Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen: Verzeichnis von C:\ Verzeichnis von C:\WINDOWS\system32 Verzeichnis von C:\WINDOWS Verzeichnis von C:\WINDOWS\Prefetch (Windows XP) Verzeichnis von C:\WINDOWS\tasks Verzeichnis von C:\WINDOWS\Temp Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp Deckards System Scanner (DSS) Hier gibt es das Tool -> dss.exe * Schließe alle Anwendungen * Doppelklicke dss.exe um das Programm zu starten * Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt der main.txt öffnen. Ein weiteres Logfile, die extra.txt liegt im Verzeichnis c:\Deckard\SystemScanner\extra.txt * Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE] Was Deckards System Scanner macht: * Es Erstellt einen System Wiederherstellungspunkt * es säubert die temporären Dateien, Downloaded Program Files, Internet Cache Dateien und es leert den Mülleimer auf allen Lauferken. Sunny |
Zitat:
Zitat:
Code: ----- Root ----------------------------- Zitat:
Wird der Wiederherstellungspunkt nicht nur bei WinXP gesetzt? |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:15 Uhr. |
Copyright ©2000-2025, Trojaner-Board