Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Anzeigen von "System Alert" in Taskleiste (https://www.trojaner-board.de/46767-anzeigen-system-alert-taskleiste.html)

Germchen 08.12.2007 23:11
Anzeigen von "System Alert" in Taskleiste
 
Moin Moin
Ich habe vor einigen Tagen eine falsche .exe gefunden diese geöffnet und installiert darauf hin kammen links von seinten die mein System skannen und unten links kommt immer die Meldunk System Alert!, angeblich habe spyware auf meinen rechner. Wenn ich den button anklicke komme ich zu dieser Seiter: h**p://w*w.virprotect.com/?aff=1012

Im Hijack logfile stand folgenes:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 23:08:28, on 02.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Windows Defender\MsMpEng.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\Eset\nod32krn.exe
D:\WINDOWS\System32\snmp.exe
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\WINDOWS\system32\taskmgr.exe
D:\WINDOWS\system32\ctfmon.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Germchen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - D:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - c:\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
Ich habe keine ahnung was ich damit machen soll kann mir jemand helfen?

gruß Germchen

cosinus 09.12.2007 01:42
Hallo.

Du hast die alte Version von Hijackthis benutzt. Erstell mal mit der aktuellen Version ein neues Logfile und poste es. Nimm dazu diese umbenannte hijackthis.exe.

Dann sehen wir weiter.

Germchen 09.12.2007 10:48
k danke für die Info

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:47:06, on 03.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Windows Defender\MsMpEng.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\WINDOWS\system32\ctfmon.exe
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\Eset\nod32krn.exe
D:\WINDOWS\System32\snmp.exe
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Germchen\Desktop\abc123.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [some] D:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] D:\Programme\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O22 - SharedTaskScheduler: caribi - {8b87dcc7-9b89-4205-aa82-076b2a1edfe0} - D:\WINDOWS\system32\ncrjf.dll
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - c:\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 2898 bytes

cosinus 09.12.2007 16:46
Sieht aus, als wär da noch was vom smitfraud/zlob im System drin:

Code:
O4 - HKLM\..\Policies\Explorer\Run: [some] D:\Programme\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] D:\Programme\Video Add-on\isfmntr.exe
Folge dazu mal dieser Anleitung und erstelle danach ein neues HJT-Log und poste es.

Werte auch mal die Datei D:\WINDOWS\system32\ncrjf.dll bei Virustotal aus und poste die Ergebnisse.

Germchen 09.12.2007 18:07
Also SmithFfroudFix hat es geschaft die nachricht kommt net mehr und die datei konnte ich daher nicht mehr auswerten.
Also vielen dank für deine Hilfe Arne.:aplaus:

gruß Germchen

cosinus 09.12.2007 18:17
Was ist mit dem neuen HJT-Log? Und die Auswertung der Datei?

Germchen 09.12.2007 18:29
die datei konnte ich net auswerten weil sie durch smithfroudFix gelöscht wurde
ach ja und HJT
Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:31:39, on 09.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\Programme\Windows Defender\MsMpEng.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\ctfmon.exe
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
c:\Eset\nod32krn.exe
D:\WINDOWS\System32\snmp.exe
D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
c:\Ashampoo\Ashampoo Magical Defrag 2\bin\defragActivityMonitor.exe
C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Skype\Plugin Manager\skypePM.exe
D:\PROGRA~1\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Germchen\Desktop\abc123.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = Internet Explorer: Get It Now
O4 - HKLM\..\Run: [AVP] "C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - c:\Ashampoo\Ashampoo Magical Defrag 2\bin\aDefragService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - c:\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - D:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 2553 bytes
edit: HJT neue version


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131