preload
basicPlayer

Trojaner!!! Hilfe.... :( !

Comunio.de Foren-Übersicht -> Off Topic General
Vorheriges Thema anzeigenNächstes Thema anzeigen
Neues ThemaAntworten
Autor Nachricht
Gast





BeitragVerfasst am: 29 Jan 2006 13:22   Titel: Trojaner!!! Hilfe.... :( ! Antworten mit Zitat
Problem: Firefox öffnet ständig Seiten mit der Endung yyy102.html!!!

Hab ma das Programm Hijackthis rüberlaufen lassen und er hat folgende File erstellt: (vielleicht kann ja jemand damit was anfangen und mir eventuell helfen)

Logfile of HijackThis v1.99.1
Scan saved at 13:16:19, on 01.03.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\System32\mswupdate32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\winbl8.exe
C:\WINDOWS\System32\htmxml.exe
C:\windows\winsysban3.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SGluc2No\command.exe
C:\Programme\Network Monitor\netmon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
c:\windows\winsysban4.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Hinsch\LOKALE~1\Temp\Rar$EX00.781\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [microsft windows updates] mswupdate32.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd4.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\Run: [MSNS PLUS XP2] winbl8.exe
O4 - HKLM\..\Run: [Winjava xml] htmxml.exe
O4 - HKLM\..\Run: [winsysban] c:\windows\winsysban4.exe
O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe
O4 - HKLM\..\RunServices: [microsft windows updates] mswupdate32.exe
O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe
O4 - HKLM\..\RunServices: [MSNS PLUS XP2] winbl8.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [fook] C:\PROGRA~1\GEMEIN~1\fook\fookm.exe
O4 - HKCU\..\Run: [MS Windows System Alert] MSWSA32.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\XP\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\XP\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {908D0B09-BBC4-43E7-A0C3-C961FE273780} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {908D0B09-BBC4-43E7-A0C3-C961FE273780} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {0F9B4CA4-A30F-480A-841D-69B45C50A8F8} (SekureL0gin.SekureKontrol) - http://secure2.comned.com/signuptemplates/AktiveSekurity.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f000cfd84064750d9ff670ca95bb207a82492892b3b9ab0b150d34825d6c1f4faa5632c97c7c30f0d562bb0995df42c0e856e17f438bb38f5ace6de305:6a2feff70aa50e4b3d9d6f067011f31e
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/07967e683ebb98b55e21/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127744257936
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{224397E6-ADF7-4CA8-BAD9-BD15A7A0032C}: NameServer = 213.191.74.12 213.191.92.84
O17 - HKLM\System\CS1\Services\Tcpip\..\{224397E6-ADF7-4CA8-BAD9-BD15A7A0032C}: NameServer = 213.191.92.86 213.191.74.19
O17 - HKLM\System\CS2\Services\Tcpip\..\{224397E6-ADF7-4CA8-BAD9-BD15A7A0032C}: NameServer = 213.191.74.12 213.191.92.84
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll (file missing)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\tsrmmgr.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGluc2No\command.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
Nach oben
Gast





BeitragVerfasst am: 29 Jan 2006 13:26   Titel: Antworten mit Zitat
Soweit ich weiß muss man das doch auf der Seite www.hijackthis.de oder .com auswerten lassen. Auf jeden Fall hast du ziemlich viele Prozesse, auf Anhieb habe ich aber keinen gefährlichen gefunden. Aber die Prozesse von
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
können kritisch sein, lass doch mal Spywaredoctor durchlaufen, oder Anti-Trojaner.

Gute Besserung
Nach oben
Gast





BeitragVerfasst am: 29 Jan 2006 13:27   Titel: Antworten mit Zitat
Du hast bestimmt in deiner Leiste neben der Uhr ein Roten Kreis mit Weißem X , richtig?


Ich hatte das auch mal.

Am besten postest du dein Logfile auf

http://www.trojaner-board.de/

Dort wird dir ganz gut geholfen.
Nach oben
Gast





BeitragVerfasst am: 29 Jan 2006 13:38   Titel: Antworten mit Zitat
Folgende Einträge würde ich bei Hijackthis fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
Böse

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com Böse
Böse

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com Böse
Böse

O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Programme\TheSearchAccelerator\UCMTSAIE.dll Böse
Böse

O4 - HKLM\..\Run: [microsft windows updates] mswupdate32.exe Böse

O4 - HKLM\..\Run: [myupdates] c:\windows\myupdates.exe Böse

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone Böse

O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=f000cfd84064750d9ff670ca95bb2 07a82492892b3b9ab0b150d34825d6c1f4faa5632c97c7c30f0d562bb0995df42c0e856e17f438bb 38f5ace6de305:6a2feff70aa50e4b3d9d6f067011f31e Böse

O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} - http://promo.dollarrevenue.com/webmasterexe/drsmartload229a.exe Böse

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\SGluc2No\command.exe Böse

O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe Böse


fixen, neustarten und schauen ob das Problem immer noch besteht
Nach oben
Gast





BeitragVerfasst am: 29 Jan 2006 13:48   Titel: Antworten mit Zitat
C:\windows\winsysban3.exe <-Hijacker.VB.kc (der wird es sein)
Nach oben
Gast





BeitragVerfasst am: 29 Jan 2006 15:40   Titel: Antworten mit Zitat

NicoS hat folgendes geschrieben:
Soweit ich weiß muss man das doch auf der Seite www.hijackthis.de oder .com auswerten lassen.


Hier kann man es auswerten

Edit sagt:
Hier gibt es die Auswertung
Nach oben
Gast





BeitragVerfasst am: 30 Jan 2006 00:42   Titel: Antworten mit Zitat
Danke Jungs.. auf euch ist halt Verlass. Hab meine Festplatte jetzt "platt" gemacht. Und XP neu druff gemacht.

Mal sehen wielange das nun gut geht.

Welche Sicherheitsprogs sollte ich auf alle Fälle drauf haben, außer AntiVir !?!?!?!

DANKE für eure Tipps

Nach oben
Gast





BeitragVerfasst am: 30 Jan 2006 09:52   Titel: Antworten mit Zitat
Also wir haben bei Kunden eglt. schlechte Erfahrungen mit AntiVir gemacht.
Hier empfiehlt es sich eglt. mal für die Sicherheit Geld auszugeben, besonders in dieser Zeit des Phisings.
Da haben wir in der letzten Woche übelste Sachen von neuen Trojanern gehört.

Also, wenn man wo nicht sparen sollte, dann an einer guten Anti-Virensoftware.

Was man noch gebrauchen könnte. Sicherlich auch eine gute Firewall, im idealfall im Router und in Windows (und damit meine ich nicht die Windows-firewall). Keine automatismen einstellen, sondern alles selber einstellen. Es ist sowieso nicht unbedingt verkehrt, auch an Einzelrechnern einen Router mit aktivem NAT zu haben.

Was noch zu empfehlen wird, ggf. 2 verschiedene Accounts in Windows zu haben für z.B. den täglichen Gebrauch und kritischen Anwendungen (wenn du z.B. OnlineBanking oder anderes machst). Erledigt die Gefahr nicht zu 100%, kann es aber reduzieren.

Grundsätzlich bringt es heute auch nichts mehr, auf Firefox und Opera etc. umzusteigen, da diese auch mitlerweile genauso betroffen sind wie der IE (Solltest du IE noch haben).
Nach oben
Beiträge der letzten Zeit anzeigen:   
Neues ThemaAntworten
Alle Zeiten sind GMT + 1 Stunde
Comunio.de Foren-Übersicht -> Off Topic General
Seite 1 von 1



Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2002 phpBB Group