|
Hallo ottmar, da wir alle die Probleme des Browser-Hijackings loswerden wollen, bitte ich Dich um Deine Mitarbeit bei der Spybot-Forschung. Dein Vorteil liegt darin, dass Du Spybot 1.3.1TX brauchst, um Deinen Computer damit zu reinigen. Arbeite das Tutorial Punkt für Punkt durch, überprüfe Deinen Computer mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Report und sende ihn an detections@spybot.info, mit dem Betreff "vbsys.dll-TBOARD", mit Hinweis auf diesen Thread. =====@===== Platform: Windows XP (WinNT 5.01.2600)/ MSIE: Internet Explorer v6.00 (6.00.2600.0000) - lade Dir bitte das aktuelle Service Pack runter und update Deinen IE: www.windowsupdate.com. =====@===== Boote in den abgesicherten Modus/VGA-Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll wenn du diesen Eintrag nicht kennst/brauchst, bitte fixen: O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.109.84.251/activex/AxisCamControl.cab Boote in den normalen Modus. Lösche: C:\WINDOWS\System32\vbsys.dll Aktiviere die Systemwiederherstellung. =====@===== Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden. Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." Teile uns das Ergebnis aus der Überprüfung der Datei, das Ergebnis des eScans mit und poste ein neues Hijack This Logfile. SD |
hi shadowd ich habe das tutorial abgearbeitet. vorweg noch viell wichtige infos: bevor ich das tutorial abgearbeitet habe, hatte ich schon einträge aus dem hijackthis-ergebnis gefixt, die ich z.T. zuordnen konnte. beim erstellen der backups durch hijackthis ist mein NAV angesprungen und hat mehrere backupdateien als infiziert erkannt (trojan.byteverifier) --> hab die dateien gelöscht. weiterhin hat der escan eine datei als infiziert erkannt (Win32.Tibsis.a). diese datei ( c:windows\fierm.exe) hab ich vorsorglich mit NAV isoliert. ----------------------------------------------------------------------- dann gehts weiter mit dem ergebnis des tutorials: << escan >> 21 21:55:31 2004 => File C:\WINDOWS\fierm.exe infected by "TrojanDropper.Win32.Tibsis.a" Virus. Action Taken: No Action Taken. Thu Oct 21 22:06:39 2004 => ERROR!!! Invalid Entry \??\C:\WINDOWS\System32\Drivers\NPDRIVER.SYS in SYSTEM\CurrentControlSet\Services\NPDriver... Thu Oct 21 21:58:14 2004 => Total Files Scanned: 2676 Thu Oct 21 21:58:14 2004 => Total Virus(es) Found: 1 Thu Oct 21 21:58:14 2004 => Total Disinfected Files: 0 Thu Oct 21 21:58:14 2004 => Total Files Renamed: 0 Thu Oct 21 21:58:14 2004 => Total Deleted Files: 0 Thu Oct 21 21:58:14 2004 => Total Errors: 1 Thu Oct 21 21:58:14 2004 => Time Elapsed: 00:03:36 Thu Oct 21 21:58:14 2004 => Virus Database Date: 2004/10/18 Thu Oct 21 21:58:14 2004 => Virus Database Count: 106860 Thu Oct 21 21:58:14 2004 => Scan Completed. << hijackthis >> Logfile of HijackThis v1.98.2 Scan saved at 12:07:59, on 22.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098434165592 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab so long ... ottmar |
@ ottmar, boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häkchen setzen und fix checked klicken): wenn du diesen Eintrag nicht kennst/brauchst, bitte fixen: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = Boote in den normalen Modus. Aktiviere die Systemwiederherstellung. SD |
... hab versucht den eintrag zu fixen, jedoch vergeblich. er war nicht mehr zu finden. (windws-updt lief vorhin nebenbei, viell lags daran) hier die aktuelle hijackthis-log: Logfile of HijackThis v1.98.2 Scan saved at 12:49:23, on 22.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe C:\Programme\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098434165592 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab . . . |
@ ottmar jetzt sieht Dein Logfile sauber aus. Nur das Betriebssystem und der IE sollten aktualisiert werden. Pflichtlektüre: - Vorbeugende Maßnahmen: www.trojaner-info.de - www.mathematik.uni-marburg.de - IE sicher konfigurieren: www.datenschutzzentrum.de. - Einschränktes Benutzerkonto: www.ntsvcfg.de. - faq.underflow.de SD |
... oh das hört sich ja schonmal gut an :daumenhoc ich hab aber noch ne frage: -> was mach ich mit der (isolierten) fierm.exe ? hab mal bei sophos nach 'fierm.exe' gesucht und folgendes gefunden: ----------------------------------------------------------------------- Troj/Dloader-BS ist ein Downloader-Trojaner. Zum jetzigen Zeitpunkt lädt Troj/Dloader-BS folgende Dateien herunter und führt sie aus: FIERM.EXE, erkannt als Dial/TlfLic-B. MADOPEW.DLL, erkannt als Troj/StartPa-BM. PODNL1.EXE, erkannt als Troj/Peck-A. SCINS.EXE. WINLOGON.EXE, erkannt als Troj/TCXMedi-J. WINSERV.EXE, erkannt als Troj/Dloader-AO. ------------------------------------------------------------------------ davon finde ich bei mir: C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\SoftwareDistribution\Download\256adcee6446c05a52e0f442d0ccb199\sp1qfe\winlogon.exe -> was mach ich denn jetzt damit? :confused: |
unter Vorbehalt, dass sich vielleicht ein Backdoor auf Deinem System befindet, den ich noch nicht erkannt habe, machst Du Folgendes: Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Warhawk) Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre] Boote in den normalen Modus, aktiviere die Systemwiederherstellung. SD |
. . . scheint alles sauber zu sein und das problem behoben. danke für die unterstützung - gruß ott |
sooo....hab deine anleitung auch mal durchgearbeitet. danke erstmal :D escan hat ausser im PestPatrol-quarantäne-ordner nix gefunden hier das neue HijackThis log: Code: Logfile of HijackThis v1.98.2 |
@ nevermind, Dein Logfile sieht sauber aus. Was hat der eScan ergeben? Kannst Du bitte das Ergebnis posten? SD |
Fri Oct 22 13:35:29 2004 => Total Files Scanned: 58037 Fri Oct 22 13:35:29 2004 => Total Virus(es) Found: 1 Fri Oct 22 13:35:29 2004 => Total Disinfected Files: 0 Fri Oct 22 13:35:29 2004 => Total Files Renamed: 0 Fri Oct 22 13:35:29 2004 => Total Deleted Files: 0 Fri Oct 22 13:35:29 2004 => Total Errors: 26 Fri Oct 22 13:35:29 2004 => Time Elapsed: 02:26:18 Fri Oct 22 13:35:29 2004 => Virus Database Date: 2004/10/22 Fri Oct 22 13:35:29 2004 => Virus Database Count: 107175 und wie gesagt, die eine infizierte datei is im quarantäne-ordner von pestpatrol. |
@ nevermind Zitat:
SD |
Fri Oct 22 13:12:03 2004 => File C:\Programme\Gemeinsame Dateien\PestPatrol\Quarantine\ppqB.tmp infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken. |
@ nevermind leere bitte den Ordner: "C:\Programme\Gemeinsame Dateien\PestPatrol\Quarantine" Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren. SD |
ok. hab ich gemacht. danke |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:34 Uhr. |
Copyright ©2000-2025, Trojaner-Board