Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   wer kann mir bitte weiterhelfen? (https://www.trojaner-board.de/8167-mir-bitte-weiterhelfen.html)

woerdogs 06.10.2004 16:51
wer kann mir bitte weiterhelfen?
 
hallo erstmal
ich bin ganz neu hier und durch google auf euch gestossen.
mein prolem:
antivir meldet mir einen trojaner mit der bezeichnung TR/Qukart.A.1
leider hab ich in eurem archiv nichts derartiges gefunden und die suchmaschine scheint das auch nicht zu kennen.
dieses ding taucht auch nach loeschen und neustart immer wieder auf. wie kann ich den trojaner los werden und was versteckt sich hinter der bezeichnung :confused:
vielleicht kennt hier ja jemand dieses aufdringliches dingens.
gruss woerdogs

Cidre 06.10.2004 17:15
Hallo,

hier findest du eine Info zu Quarkat:
http://www.f-secure.de/v-desk/padodor_w.shtml

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

woerdogs 06.10.2004 19:14
nochmals danke cidre :) hab sogar das mit dem logfile geschafft *g*
leider hab ich null ahnung was das alles bedeuten soll :dummguck:

Logfile of HijackThis v1.98.2
Scan saved at 20:05:19, on 06.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\suge.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
c:\t-online\browser\browser.exe
C:\Dokumente und Einstellungen\hier stand mein name -Z4DIOW2E3S\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982[1].zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MSChoExE] suge.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [MSChoExE] suge.exe
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSChoExE] suge.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1095834982906
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEA76FAD-1956-44AA-A83B-A5EBC078DFE1}: NameServer = 217.237.151.97 217.237.150.33
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Ipehkebj.dll


so ich hoff ich hab das alles richtig gemacht und waer dankbar wenn mir das jemand nachguggen koennte :)

*Christian* 06.10.2004 19:42
Deinstalliere:
C:\Programme\MSN
Apps


Fixe mit HijackThis dies:

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN
Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -
C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN
Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\RunServices: [WindowsRegKeys update] winsysi.exe
O4 - HKCU\..\Run: [WindowsRegKeys update] winsysi.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm



C:\WINDOWS\System32\suge.exe überprüfe hier: http://www.kaspersky.com/de/scanforvirus

Cidre 06.10.2004 19:58
@ woerdogs

Wie ich dir bereits per PN mitgeteilt habe, wäre es sinnvoller, wenn du dein System neu aufsetzen würdest. Zumal dein System eh frisch ist. ;)

O4 - HKLM\..\Run: [MSChoExE] suge.exe => Backdoor.Rbot.gen
http://board.protecus.de/showtopic.php?threadid=12730
O4 - HKLM\..\Run: [WindowsRegKeys update] winsysi.exe => WORM_SDBOT.WE
http://www.trendmicro.com/vinfo/viru...=WORM_SDBOT.WE

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

woerdogs 06.10.2004 20:32
danke christian und cidre,
ich ueberleg grad ob ich nicht vielleicht den ganzen pc zum fenster rauswerf ;)
denn das ganze fing an mit dem testzugang nach dem installieren von t-online, da hatte ich innerhalb von sekunden mir schon den sasser eingefangen und seitdem kam jeden tag was neues dazu.
ich werd alles neu installieren und hoff dass ich dann wieder mit einem besseren gefuehl online sein kann.

@ cidre
wie soll ich modzilla oder thunderbird-mail kriegen bevor ich wieder online gehe? und was meinst du mit surfverhalten ueberpruefen? ich trau mich ja eh schon fast nirgends mehr hin und beweg mich nur noch auf dem t-online browser.

nochmal vielen dank euch beiden eigentlich muesste ich euch zu einem :juul: einladen

lg woerdogs

Cidre 06.10.2004 20:56
Zitat:
wie soll ich modzilla oder thunderbird-mail kriegen bevor ich wieder online gehe?
Nachdem du Punkt 1 und 2 abgearbeitet hast, kannst du ins I-net. Danach alle weiteren Punkte abarbeiten.

Zitat:
und was meinst du mit surfverhalten ueberpruefen?
Bevor du irgendetwas ausführst, solltest du genau wissen was du tust. Zuerst denken, dann handeln.
- Keine Downloads und Installationen aus unsicheren Quellen
- Downloads immer erst speichern und mittels aktualisierten AV Scanner gegenprüfen
- Warnhinweise genau lesen
usw.

Hilfe38 15.10.2004 18:18
Hallo ich habe das selbe Problem!
Antivir meldet bei mir TR/Qukart.A.1 und TR/Qukart.A.2!! :koch: !!
Wie kann ich diesen Trojaner löschen! :snyper:
Bitte hilft mir :( !

Hilfe38 15.10.2004 18:22
Logfile of HijackThis v1.98.2
Scan saved at 19:21:26, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Steganos Security Suite 6\sss.exe
C:\Programme\Steganos Security Suite 6\safe.exe
C:\Programme\Steganos Security Suite 6\spm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BETL~1\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{429FD066-D7A8-475D-935A-57D2A4EE3B7A}: NameServer = 145.253.2.81 145.253.2.203

ehmmm und was muss ich jetzt machen??? PLEASE HELP ME!!

*Christian* 15.10.2004 23:47
@Hilfe38

Wo findet AntiVir die Trojaner?
Lösche bitte deine Temp. Internet Files.

Außerdem fixe dies:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Hilfe38 17.10.2004 23:23
Logfile of HijackThis v1.98.2
Scan saved at 00:21:42, on 18.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Steganos Security Suite 6\sss.exe
C:\Programme\Steganos Security Suite 6\safe.exe
C:\Programme\Steganos Security Suite 6\spm.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BETL~1\LOKALE~1\Temp\Rar$EX00.859\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SSS6_Suite] "C:\Programme\Steganos Security Suite 6\sss.exe" /booting
O4 - HKCU\..\Run: [SSS6_SAFE] "C:\Programme\Steganos Security Suite 6\safe.exe" /booting
O4 - HKCU\..\Run: [SSS6_SPM] "C:\Programme\Steganos Security Suite 6\spm.exe" /booting
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SpeedFan.lnk = C:\Programme\SpeedFan\speedfan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{429FD066-D7A8-475D-935A-57D2A4EE3B7A}: NameServer = 145.253.2.81 145.253.2.203

Hilfe38 17.10.2004 23:29
Antivir sagt TR/Qukart.A.1 gefunden! und gelöscht aber ich bin imir immer noch net sicher ob es wirklich weg ist!

thx für die HILFE

by

Hilfe38

Shadowdance 18.10.2004 00:32
@ Hilfe38

Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - Dein Betriebssystem und Dein IE sind nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

Dein Logfile sieht sauber aus.

SD

DerDerDasKann 19.10.2004 19:13
Das selbe in hellgrün...
 
Hi leutz, mein erster post hier.
Ich hab mir bei der letzten Lan wohl derbe würmer und Trojaner gezogen. :schmoll:
Also Antivir hat verschiedene würmer gelöscht.Und auch 2-3 Backdoorprogramme.

Nur diesen Trojaner bekommt man echt nicht weg.
Der wrd nicht gelöscht wenn ich ihn das sage

ich hab auch schon ein log file gemacht wäre toll wenn den jemand sich mal anschauen könnte ob da alles stimmt:(schnell wäre gut, bin ab Donnerstag in urlaub bis dahin muss das wieder gehen.)

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
G:\Downloads ALL\Internetprogramme\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Sicherheit\Trojancheck 6\tcguard.exe
G:\Downloads ALL\Internetprogramme\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\smartsurf\SmartSurfer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\realplay.exe
G:\HijackThis\HijackThis.exe
C:\boot.bat

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stagelo.net/start/?user=derderdaskann
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.i--search.com/ie/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.i--search.com/ie/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.i--search.com/ie/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Sicherheit\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] G:\Downloads ALL\Internetprogramme\AVGNT.EXE /min
O4 - HKLM\..\Run: [Realplayer One] realplay.exe
O4 - HKLM\..\RunServices: [Realplayer One] realplay.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{69F6ED98-AD64-4651-BA59-2512472F19EB}: NameServer = 195.129.111.50 195.129.111.49
O18 - Protocol hijack: mhtml -
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Mlqffk32.dll (file missing)
Edit:
Ich seh grad diese dummen I-Serach einträge...
Ach ja diese I-SearchScheiße nervt auch tirisch wie bekomm ich das eigentlich weg.

und pc neuaufsetzten ist bei mir nicht drin... es sei denn da ist garnichtsmehr zu machen....

Cidre 19.10.2004 19:19
@ DerDerDasKann

Dein System hat von dir keine Updates und Patches jemals gesehen.
Warum wurde dies vernachlässigt?

Überprüfe diese Datei bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\realplay.exe

cacatoa 19.10.2004 19:38
@ derderdaskann
Junge, Junge, sieht mir ganz nach Bugbear.B aus (C:\WINDOWS\System32\realplay.exe); bin mir noch nicht ganz sicher, deshalb:
@ cidre
Meinst Du nicht auch?

cacatoa

Cidre 19.10.2004 21:13
Ich denke eher an einen Trojaner Downloader wie der Agent.
Wie kommst du auf Bugbear?

@ DerDerDasKann

Zitat:
und pc neuaufsetzten ist bei mir nicht drin... es sei denn da ist garnichtsmehr zu machen....
Wenn ich so einen Quatsch schon lese! :headbang:
Dann setze dich im Vorfeld mit deinem System auseinander und sichere es dementsprechend ab, dann brauchst du dir über die logischen Konsequenzen auch keinen Kopf machen.

cacatoa 19.10.2004 21:23
@ cidre
Bugbear versteckt sich gern auch in realplay.exe
Unter anderem auch hier gefunden, ebenso bei sophos und hier .
Grund war, daß realplay.exe von HJT als böse erkannt wurde. Der einzige Verweis fand sich auf die o.a. URLs.
cacatoa

Yuuichi 04.01.2005 00:10
Huhu!

Ich habe auch diesen aufdringlichen Trojaner und das seit ca. 2 Stunden oder so...
Hier mein Log:


Logfile of HijackThis v1.99.0
Scan saved at 00:07:09, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\HHVcdV6Sys\VC6SecS.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Messenger Plus! 3\MsgPlus.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\TuneUp Utilities 2004\MemOptimizer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\eMule\emule.exe
D:\Programme\Avant Browser\avant.exe
C:\Dokumente und Einstellungen\Yuuichi.DANIEL-FCDQATQS\Desktop\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programme\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\Programme\TuneUp Utilities 2004\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] D:\Programme\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - D:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Download all by Free Download Manager - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://D:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Hervorheben - D:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - D:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - D:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - D:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103236309788
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5AB9A8-335C-4E81-92B7-84BC622AFC36}: NameServer = 217.237.151.33 217.237.149.225
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Mdjefndk.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v6 Management Service - H+H Software GmbH - C:\Programme\HHVcdV6Sys\VC6SecS.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ich bin sicher, dass ihr mir helfen werdet... Danke im vorraus deswegen! ^^
Ich weiss auch nicht, wie ich dieses Ding mit diesem "Free Download Manager" wegbekomme - der war irgentwann einfach so drauf plötzlich x.x mit vielen weiteren programmen <_< die ich aber wegbekommen habe mehr oder weniger... naja!

MfG
Yuuichi

Cidre 04.01.2005 00:37
Hallo @ Yuuichi,

lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131