Hallo,

seit gestern meldet sich immer mein "AnitVir XP" mit der Meldung,
dass ich das Trojanische Pferd "TR/Pish.Telekom.A" hätte.
Dieses habe ich dann von der Anwendung löschen lassen.
Heute hatte ich dieses Teil gleich 15 mal im Cach (FireFox 1.0).
Weiß von Euch jemand, was ich mir da eingefangen habe?

Auf der Internetseite (AntiVir) steht auch nichts und Google brachte auch nichts zu Tage.

Vielen Dank im voraus.

R2D2_Space

Hallo R2D2_Space,

irgendwie erinnert mich das an diesen Thread ...Telekom....

Was machst Du gerade, wenn Du diese Meldung von AntiVir bekommst? Surfst Du --> keine anklickbare URL angeben oder öffnest Du gerade eMails?

Erstelle bitte zunächst ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo,

vielen Dank Shadowdance für deine schnelle Antwort.


Wo, oder bei was ich mir den Trojaner eingefangen habe, weiß ich leider nicht.

Hier nun das logfile

Logfile of HijackThis v1.98.2
Scan saved at 22:39:46, on 22.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0900WA~1\w0svc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\0900WA~1\WARN0900.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\LeechGet 2004\LeechGet.exe
C:\Programme\Simplegrab 0.32\SimpleGrab.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Total Commander\TOTALCMD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\DOKUME~1\Marco\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = SmartSurfer2000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = SmartSurfer2000
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0900WA~1\whelper1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [0900 Warner] C:\PROGRA~1\0900WA~1\WARN0900.EXE
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [LeechGet] "C:\Programme\LeechGet 2004\LeechGet.exe" -intray
O4 - Global Startup: Simplegrab.lnk = C:\Programme\Simplegrab 0.32\SimpleGrab.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing)
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing)
O9 - Extra 'Tools' menuitem: Artikel in den myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{FADF39BC-EA74-4163-A1ED-F4652384EDDE}: NameServer = 62.53.247.35 193.189.244.205

Gruß
R2D2_Space

Hi, haue zuerst mal das weg:O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE, danach alles rot/orange, natürlich abgesichert/ Systemwiederherstellung/blah, blah,blah, usw. ist nichts wirklich schlimmes, aber es nervt halt-> muß runter von der HD
LG, Charlie
Und in Zukunft, halt nicht alles anklicken, ja!

@R2D2_Space
warum brauchst du 3 downloadmanager?

chaosman

Hi,

so jetzt habe ich ersteinmal 2 von 3 DLM entfernt.
Was sich alles so ansammelt

R2D2_Space

Zitat:

Zitat von R2D2_Space

Wo, oder bei was ich mir den Trojaner eingefangen habe, weiß ich leider nicht.

Dann lies mal http://www.heise.de/newsticker/meldung/53231 und überleg, ob das auf Dich zutrifft.

Gruß
Yopie

Hi,

danke Yopie für diesen Tip.
Jedoch habe ich weder eine eMail von der Telekom bekommen,
noch war ich auf einer Internetseite der Telekom.

Gruß
R2D2_Space

Ja, dass ist ein stinknormaler Webdownloder, damit kann man jede Seite infizieren, ich könnte das auf meiner auch machen, dich da hin locken und wenn du sie anschaust, haste das Ding umsonst!
Wenn dein System aber gut konfiguriert ist, kann so ein Müll nichts ausrichten, man muss halt ab und zu mal saubermachen, dass ist alles.
Liebe Grüße, Charlie

@ R2D2_Space,

bitte überprüfe noch mit virusscan.jotti.dhs.org:

C:\Programme\Simplegrab 0.32\SimpleGrab.exe

teile uns das Ergebnis der Überprüfung mit.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing)
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtowatch.vbs (file missing)

O9 - Extra button: myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing)
O9 - Extra 'Tools' menuitem: Artikel in den myvisto Bietagent - {EAB73FC0-2028-42F2-B835-0E09FE5A3FED} - C:\Programme\expert-center\myvistoV6\data\vbs\sendtobidder.vbs (file missing)

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:
(Häk'chen setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = SmartSurfer2000

boote in den normalen Modus.
Aktiviere die Systemwiederherstellung.

Lade den eScan (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst nun einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte aus der "mwav.log" NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt?

Erstelle dann auch noch ein weiteres Hijack This Logfile und poste es.

SD