Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: http://63.218.226.78/connect.cgi?id=897

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 08.05.2005, 18:49   #1
tobybe
 
http://63.218.226.78/connect.cgi?id=897 - Standard

http://63.218.226.78/connect.cgi?id=897



Hallo, wir haben seit ca. 4 Wochen ein Problem mit dem Dialer-Installer "http://63.218.226.78/connect.cgi?id=897". Dieser wird während des Windows-Starts im Standardbrowser (Firefox nun, zuvor IE) geladen und will einen Dialer installieren. Dabei wird der gesamte Autostart von Windows nicht geladen.

Ich habe mit allen bekannten Programmen (CWShredder, SpyBot 1.3, A², SpySweeper, Ad-Aware SE ...) alles mehrmals durchsucht. Es wurde auch - mal - was gefunden und alles danach entfernt.

Leider werden wir das Ding nicht los (es ist auch nicht bei jedem Windows-Start aktiv, aber bei fast jedem)

System: Windows XP Prof, SP1, alle Updates für SP1
Internet: DSL über Router

Wo kann versteckt sein, dass beim Windows-Login der Standardbrowser geladen werden soll mit der Seite http://63.218.226.78/connect.cgi?id=897

Ich habe Registry (Run ...) durchsucht ... nix!

Bin langsam ratlos.

MfG,
Tobybe

Alt 08.05.2005, 19:08   #2
chaosman
 
http://63.218.226.78/connect.cgi?id=897 - Standard

http://63.218.226.78/connect.cgi?id=897



@tobybe
poste ein HJTlogfile
download und anleitung

und editiere dein link bitte

chaosman
__________________

__________________

Alt 08.05.2005, 21:07   #3
tobybe
 
http://63.218.226.78/connect.cgi?id=897 - Standard

http://63.218.226.78/connect.cgi?id=897



Hallo, einige Nachträge:

Habe soeben SP2 und alle neuen Updates installiert

Software wie "Spyware Vanisher", "Spyware Eliminator" ... finden rund 34 infizierte Dinge (viel in Registry, 1 Dialer ...). Jedoch muss man die Programme kaufen, damit man die Trojaner löschen kann. Will jedoch die Programme nicht kaufen. Die Freeware Tools a la Ad-Aware finden wohl leider nicht mehr alles

Okay, anbei eine aktuelles Logfile aus Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 22:02:31, on 08.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\xp-AntiSpy\xp-AntiSpy.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Win\LOKALE~1\Temp\Rar$EX00.905\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [Spyware Vanisher] c:\programme\spywarevanisher-free\FreeScanner.exe -FastScan
O4 - HKCU\..\Run: [SpyBlocs] C:\Programme\eBlocs\SpyBlocs\GLF41.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O15 - Trusted IP range: 63.218.226.78
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZONELABS\vsmon.exe


(Zonealarm wird nicht mehr verwendet, die Windows-Firewall ist auch deaktiviert, Der Link/Dialer scheint bereits tot zu sein bzw. wurde vom netz genommen - trotzdem wird die seite angefordert)
__________________

Geändert von tobybe (08.05.2005 um 21:15 Uhr)

Alt 12.02.2006, 16:03   #4
Pumbaa
 
http://63.218.226.78/connect.cgi?id=897 - Ausrufezeichen

http://63.218.226.78/connect.cgi?id=897



Der Thread ist zwar jetzt schon ein paar Tage alt, aber ich habe gerade ein ähnliches Problem gehabt:
Mein Rechner hat ständig versucht, 63.218.226.78 und manchmal 205.177.124.72 aufzurufen.
Die Ursache: ein Trojaner, der sich in der Datei
c:\windows\system32\drivers\wlan1934.sys
versteckt.
Diese Datei löschen, und alles wird gut.
Leider ist sie wahrscheinlich geöffnet, und lässt sich daher nur über Umwege löschen:

- Als Administrator anmelden
- Process Explorer von www.sysinternals.com installieren und starten
- Strg-F drücken und "wlan1934" eingeben
- Es sollte der Handle c:\windows\system32\drivers\wlan1934.sys im Prozess "System" gefunden werden - diesen doppelklicken
- im unteren Teil die wlan1934.sys mit Rechtsklick auswählen -> Close Handle -> Ja
- Jetzt lässt sich die c:\windows\system32\drivers\wlan1934.sys löschen
- Neustart, fertig!

Wer will, kann auch noch die Registry-Einträge löschen:
- regedit.exe ausführen
- links oben "Arbeitsplatz" auswählen
- Strg-F drücken und "wlan1934" eingeben; Das Kästchen "Schlüssel" aktivieren; "Ganze Zeichenfolge vergleichen" deaktivieren
- Den gefundenen Schlüssel löschen; hierzu zunächst mit Rechtsklick -> Berechtigungen... die nötigen Vollzugriffs-Rechte setzen
- mit F3 weitersuchen und obigen Schritt wiederholen bis alle Einträge entfernt sind

Geändert von Pumbaa (12.02.2006 um 16:09 Uhr)

Antwort

Themen zu http://63.218.226.78/connect.cgi?id=897
ad-aware, aktiv, autostart, bekannte, cwshredder, dsl, firefox, geladen, gesamte, installiere, langsam, problem, programme, programmen, registry, seite, spybot, spysweeper, standardbrowser, updates, versteckt, windows xp, woche, wochen




Ähnliche Themen: http://63.218.226.78/connect.cgi?id=897


  1. [Win7] USB Connect Sound wird regelmäßig abgespielt
    Alles rund um Windows - 29.01.2015 (6)
  2. Connect(); - ein Blick in die Zukunft von Visual Studio und Azure
    Nachrichten - 21.10.2014 (0)
  3. Search Protect Client Connect Ltd auf Windows 8.1, nicht deinstallierbar
    Log-Analyse und Auswertung - 25.09.2014 (4)
  4. Search Protect von Client Connect LtD, Windows 8.1, läßt sich nicht deinstallierne
    Plagegeister aller Art und deren Bekämpfung - 04.08.2014 (6)
  5. Medion connect xl Rechner prüfen
    Plagegeister aller Art und deren Bekämpfung - 27.04.2014 (11)
  6. OpenID Connect als Standard ratifiziert
    Nachrichten - 27.02.2014 (0)
  7. Ungewollte Startseiten: *http://wisersearch.com/?channel=de_nt* und *http://search.fbdownloader.com/?channel=sfde203fbdgy21*
    Log-Analyse und Auswertung - 16.12.2013 (13)
  8. Infektion mit http://www.qvo6.com und http://static.icmapp.com
    Log-Analyse und Auswertung - 04.12.2013 (7)
  9. Connect Toolbar entfernen
    Anleitungen, FAQs & Links - 09.11.2013 (2)
  10. http://dfs.pathdone.net/sd/cpops-1.2.0.html?u=http%3A%2F%2Fdfs.pathdone.net%2Fsd%2Fapps%2Ffusionx%2F0.0.4.html%3Faff%3D1060-8002&p=LyricsSay
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (13)
  11. Win XP - Weisser Bildschirm connect to internet - keine Arbeit im abgesicherten Modus
    Log-Analyse und Auswertung - 22.09.2013 (18)
  12. Weißer Bildschirm "Please connect to the Internet." und TaskMgr deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 07.09.2013 (1)
  13. Habe auch unregelmässige i-net connect probs
    Antiviren-, Firewall- und andere Schutzprogramme - 30.06.2008 (0)
  14. "Bot started and connect to 1.xdgz.com" ???
    Plagegeister aller Art und deren Bekämpfung - 18.07.2004 (2)
  15. popka1978.ud-dial.biz/ connect.cg
    Plagegeister aller Art und deren Bekämpfung - 12.04.2004 (8)
  16. connect-online-Dialer?
    Plagegeister aller Art und deren Bekämpfung - 23.12.2003 (7)
  17. I-Net Connect -> Virtueller Speicher voll..
    Plagegeister aller Art und deren Bekämpfung - 18.11.2003 (0)

Zum Thema http://63.218.226.78/connect.cgi?id=897 - Hallo, wir haben seit ca. 4 Wochen ein Problem mit dem Dialer-Installer "http://63.218.226.78/connect.cgi?id=897". Dieser wird während des Windows-Starts im Standardbrowser (Firefox nun, zuvor IE) geladen und will einen Dialer installieren. - http://63.218.226.78/connect.cgi?id=897...
Archiv
Du betrachtest: http://63.218.226.78/connect.cgi?id=897 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.