Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Was ist das?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 13.08.2008, 12:31   #1
Mausel
 
Was ist das? - Standard

Was ist das?



Hallo Leute ich hab ein Problem und hoffe ihr könnt mir helfen.

Seit einiger Zeit taucht im Verlauf der Ordner Arbeitsplatz auf mit 2 Dateien

Einmal

tbr:html?%3Cbody%20bgcolor%3D%22ThreeDFace%22%3E%3Ccenter%3E%3Cbr%3E%3Cb%3E%3Cfont%20face%3D%22MS%20Sans%20Serif%22%20size%3D%221%22%3ELaden...%3C%2Ff ont%3E%3C%2Fb%3E%3C%2Fbody%3E


und einmal
tbr:html?%3Cbody%20bgcolor%3D%22ThreeDFace%22%3E%3Ccenter%3E%3Cbr%3E%3Cb%3E%3Cfont%20face%3D%22MS%20Sans%20Serif%22%20size%3D%221%22%3EWird%20geladen. ..%3C%2Ffont%3E%3C%2Fb%3E%3C%2Fbody%3E

wie es aussieht identisch.

unter Eigenschaften steht Internetverknüpfung.

Nun meine Frage, was ist das.
Klicke ich darauf kommt eine Seite wo oben steht laden und nichts tut sich

Vielen Dank schon mal fur Eure Hilfe

Mausel



Hier schon mal:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:40, on 13.08.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\PROGRA~1\Crawler\CToolbar.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\x\Eigene Dateien\ws.js
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\ctbr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\ctbr.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: PRTG System Tray Notifier.lnk = C:\Programme\PRTG Network Monitor\PRTG System Tray Notifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player)
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\ctbr.dll
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Unknown owner - D:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: F24F2A1A - Unknown owner - C:\WINDOWS\System32\F24F2A1A.exe (file missing)
O23 - Service: NetMeeting-Remotedesktop-Freigabe (mnmsrvc) - Unknown owner - D:\WINDOWS\System32\mnmsrvc.exe (file missing)
O23 - Service: Sitzungs-Manager für Remotedesktophilfe (RDSessMgr) - Unknown owner - D:\WINDOWS\system32\sessmgr.exe (file missing)
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 5903 bytes

Geändert von Mausel (13.08.2008 um 12:46 Uhr)

Alt 13.08.2008, 13:07   #2
undoreal
/// AVZ-Toolkit Guru
 
Was ist das? - Standard

Was ist das?



Hallo Mausel.

Dein System stammt aus der Urzeit und ist daher absolut nicht geeignet für Ausflüge ins www.

Für dich geht es hier weiter:

Bereinigung nach einer Kompromitierung


Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von GMER auf den Desktop und führe die Datei aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck
Zitat:
MBR rootkit code detected !
indiziert, musst du eine Bereinigung vornehmen.
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von GMER ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!
Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV findet nur einen Bruchteil aller infizierten Dateien!
Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und halte dich danach an folgende Sicherheitsempfehlungen um solche Kompromitierungen in Zukunft zu vermeiden!
  • Software Updates aller installierten Programme auf die neueste Version (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update der Viren-Signaturen deines Anti-Viren Programmes.
    .
  • Treiberupdate der Hardware (Grafikkarte, Soundkarte).
    .
  • Windows Update -> Der Frischmacher.
    .
  • Vernünftige Ordneransicht -> Einstellungen.
    .
  • Abschalten unnötiger Dienste:
    XP_ dingens.org
    Vista_ TechNET
    .
  • Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
    XP_ Firewall
    Vista_ Firewall
    .
    Oben genannte Konfigurationen sind grundlegend wichtig! Führe sie also gewissenhaft durch und poste wenn es zu Problemen gekommen ist die du nicht selbstständig mit Hilfe der Boardsuche, Google oder Freunden lösen konntest.

    Häufig gestellte Fragen: XP | Vista
__________________

__________________

Alt 13.08.2008, 13:17   #3
Mausel
 
Was ist das? - Standard

Was ist das?



das klingt bedenklich!
also etwas gefährliches.
Ich lade mir das für den MBR runter und mache mich heute Abend dran. Muß gleich weg.
Bis dahin werde ich nicht online gehen


vielen Dank erstmal für die Hilfe, da wartet viel Arbeit auf mich. Leider habe ich einige unersetzliche Sachen, die muß ich erst sichern.
Ich weiß, es stand da, man soll alles platt machen

liebe Grüße Mausel


Habe die MBR.exe gestartet. Es kam ein kurzes Fenster und weg war es. Ist das normal? Und wo finde ich dann die Log-Datei
__________________

Geändert von Mausel (13.08.2008 um 13:26 Uhr)

Alt 13.08.2008, 13:47   #4
undoreal
/// AVZ-Toolkit Guru
 
Was ist das? - Standard

Was ist das?



Zitat:
Es kam ein kurzes Fenster und weg war es. Ist das normal?
nein.

Blacklight bitte laufen lassen und das log posten.. evtl. Funde bitte umbennen/beheben lassen!
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 14.08.2008, 13:12   #5
Mausel
 
Was ist das? - Standard

Was ist das?



Hallo undoreal

endlich hat es geklappt

hier von MBR.exe

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 1 !
copy of MBR has been found in sector 62 !


anscheinend ist da was!


und hier von Blacklight:

Blacklight

Scan targets:

Hiddenprocesses
Hidden files and folders


Status:

Scan complete.
No hidden items found


und dies ist die Logdatei


08/14/08 14:03:00 [Info]: BlackLight Engine 1.0.70 initialized
08/14/08 14:03:00 [Info]: OS: 5.1 build 2600 ()
08/14/08 14:03:00 [Note]: 7019 4
08/14/08 14:03:00 [Note]: 7005 0
08/14/08 14:03:08 [Note]: 7006 0
08/14/08 14:03:08 [Note]: 7011 1804
08/14/08 14:03:09 [Note]: 7035 0
08/14/08 14:03:09 [Note]: 7026 0
08/14/08 14:03:09 [Note]: 7026 0
08/14/08 14:03:13 [Note]: FSRAW library version 1.7.1024
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:05:04 [Note]: 2000 1012
08/14/08 14:07:35 [Note]: 7007 0


da werde ich nicht schlau draus


liebe Grüße Mausel


Alt 14.08.2008, 19:25   #6
undoreal
/// AVZ-Toolkit Guru
 
Was ist das? - Standard

Was ist das?



Der MBR ist in Ordnung.

Du kannst nun, wie unten beschrieben weitermachen den Rechner neuaufzusetzten.
__________________
--> Was ist das?

Antwort

Themen zu Was ist das?
1.exe, antivirus, antivirus scan, avast, avast!, avp, avp.exe, bho, ctfmon.exe, einstellungen, explorer, frage, hijack, hijackthis, internet explorer, kaspersky, microsoft, monitor, ordner, problem, programme, security, security suite, senden, software, spyware, spyware terminator, symantec, system, urlsearchhook, windows, windows xp, yahoo



Zum Thema Was ist das? - Hallo Leute ich hab ein Problem und hoffe ihr könnt mir helfen. Seit einiger Zeit taucht im Verlauf der Ordner Arbeitsplatz auf mit 2 Dateien Einmal tbr:html?%3Cbody%20bgcolor%3D%22ThreeDFace%22%3E%3Ccenter%3E%3Cbr%3E%3Cb%3E%3Cfont%20face%3D%22MS%20Sans%20Serif%22%20size%3D%221%22%3ELaden...%3C%2Ff ont%3E%3C%2Fb%3E%3C%2Fbody%3E und einmal - Was ist das?...
Archiv
Du betrachtest: Was ist das? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.