Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trusted Zone: http://*.63.219.181.7 -> help me please

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.12.2004, 02:55   #1
aleks
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Ich habe Probleme mit popups die regelmaessig erscheinen und mich auf meinen infzierten Rechner hinweisen - gelegentlich laden sie mich auch zum Poker ein!

bitte um Hilfe!!!

Logfile of HijackThis v1.98.2
Scan saved at 10:40:21, on 01/12/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\WINDOWS\System32\cusrvc.exe
C:\Programme\Novell\ZENworks\nalntsrv.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\WolSerNT.exe
C:\Programme\Novell\ZENworks\RemoteManagement\RMAgent\ZenRem32.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\Programme\Novell\ZENworks\wm.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Novell\ZENworks\WMRUNDLL.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\NWTRAY.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Novell\ZENworks\NALDESK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
D:\Programme\2meet.cc\Assistant.exe
D:\Programme\MPQphone\MPQphone.exe
D:\Novell\GroupWise\GrpWise.exe
D:\Novell\GroupWise\GWSync.exe
C:\Programme\Netscape\Netscape\Netscp.exe
D:\DAT\sw\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = www.google.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: 2meet.cc Assistant.lnk = D:\Programme\2meet.cc\Assistant.exe
O4 - Startup: MPQphone.lnk = D:\Programme\MPQphone\MPQphone.exe
O4 - Global Startup: Application Explorer.lnk = C:\Programme\Novell\ZENworks\NALDESK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: Novell delivered applications - {C1994287-422F-47aa-8E5E-6323E210A125} - C:\Programme\Novell\ZENworks\AxNalServer.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{620C8047-0DF9-4290-B4A3-CB5E09DEC66D}: NameServer = 192.168.100.5


Die Eintraege O15 und vielleicht auch O16 duerffen dafuer verantwortlich sein, O15 kann ich in der Registry manuell loeschen, wobei sich dadurch aberr nicht wirklich was aendert, ist auch bei jedem Reboot wieder da!

Die Startuplist hab ich angehaengt
THX in advance!

Alt 01.12.2004, 06:21   #2
Cidre
Administrator, a.D.
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Hallo,

gleiche Vorgehensweise wie hier: http://www.trojaner-board.de/showthr...ighlight=sites
__________________

__________________

Alt 01.12.2004, 06:57   #3
aleks
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Danke fuer die prompte Antwort!

Ich hab aber die entsprechenden Eintraege die ich gemaess dem Inhalt des verwiesenen Themas loeschen sollte nicht gefunden.

Ich hab keine rpcnt4.dll, related.htm und auch keine service.exe die ich beenden koennte!

Oder taeusche ich mich?

services.exe ist doch in Ordnung, oder?

LG Aleks
__________________

Alt 01.12.2004, 07:44   #4
aleks
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Ich hab eben ein paar popups bekommen und wieder ein logfile erstellt!

Da gibt es jetzt zwei neue "Running processes"

C:\WINDOWS\System32\rsn.exe
C:\WINDOWS\System32\getdns.exe

bin mir sicher, dass die nicht in Ordnung sind, weiss aber nicht ob das mit dem "Trusted Zone"-Eintrag zusammenhaengt?

FYI: SP2 zu installieren ist nicht moeglich, da dann mein AutoCAD nicht mehr funktioniert!

bitte um Hilfe!

Alt 01.12.2004, 20:37   #5
Shadowdance
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



@ aleks,

liest Du bitte hier: O15 - Trusted Zone: h**p://*.63.219.181.7.

SD


Alt 01.12.2004, 21:00   #6
Hagen2
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Hallo zusammen, habe offenbar das gleiche Problem (und von Rechnern kaum Ahnung, die Kiste muß gehen, sorry).

Offen gestanden steig ich auch durch die Hinweise hier nur begrenzt durch.
Ich bin prinzipiell lernwillig könnte es mir jemand von Euch mal für wirklich Blinde erklären. Diese Po-Ups nerven und ich wäre auch auf meinen Rechner gerne wieder alleine.

Allerbesten Dank schon mal

Hagen

Alt 01.12.2004, 21:36   #7
Shadowdance
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



@ Hagen2,

bitte eröffne einen neuen eigenen Thread, --> mehr Deutlichkeit. Erstelle ein Hijack This Logfile und poste es dort dann mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Alt 02.12.2004, 01:15   #8
aleks
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Die Anwendng von Ms4hd hat folgendes Ergebnis gebarcht:

look.log:

An Ms4Hd_look by IMM (v0.003)
Version Info: 5.1000 = Windows XP Pro SP1 (Build 2600)
The volume containing the system directory is C: ()

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Files
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys
Error: Unable to open key (Return Code was 2)

HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues
Error: Unable to open key (Return Code was 2)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(0 subkey(s) and 6 values) last modified 03:11 30/11/2004 (UTC)
[AdaptecDirectCD] ""C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"" (SZ)
[Apoint] "C:\Programme\Apoint\Apoint.exe" (SZ)
[ATIModeChange] "Ati2mdxx.exe" (SZ)
[ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" (SZ)
[NWTRAY] "NWTRAY.EXE" (SZ)
[clfmon.exe] "clfmon.exe" (SZ)

err.log


tQuerySystemInformation (Entry at 8525B0) restored to 77F4BF08
NtEnumerateValueKey (Entry at 852430) restored to 77F4B8C8
NtEnumerateKey (Entry at 8522C0) restored to 77F4B8A8
NtQueryDirectoryFile (Entry at 852630) restored to 77F4BD48
LdrLoadDll (Entry at 852180) restored to 77F46F1B
NtResumeThread (Entry at 852090) restored to 77F4C118


Bitte um Auswertung!

Ich glaub, dass irgendwas nicht ganz richtig funktioniert hat?!?!

LG Aleks

Alt 02.12.2004, 21:30   #9
Lutz
 

Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Hallo aleks,

in der Tat ist dort etwas nicht so gelaufen, wie es sollte. Nur kann ich Dir leider im Moment nicht sagen, warum dies so ist.

Evtl. (im Moment eine Vermutung!) hast Du mehr Erfolg, wenn Du Ms4hd im abgesicherten Modus ausführst.

Wenn das zu dem gleichen Ergebnis führt, führe bitte ein Scan mit eScan im abgesicherten Modus durch (s. Signatur) und poste, was und an welchen Stellen gefunden wurde.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 03.12.2004, 09:44   #10
aleks
 
Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Danke fuer den Hinweis1

Durchfuehren von Mh4_look hat auch im VGA- und abgesicherten Modus dasselbe Ergebnis gebracht, also ...eScan

Das Durchfuehren von eScan hat die nachfolgenden Files als "infected" beschrieben. Ich hab den scan allerdings aus Zeitnot bei 23000 gescannten Dateien abgebrochen. Dabei hatte ich das Gefuehl, dass sich die gefundenen und gescannten Dateien wiederholen. Kann es sein, dass ich den eScan zu frueh abgebrochen hab, oder hoert dieser einfach nichtauf zu scannen und faengt immer vorn wieder an (v 4.6.9)? Zum Beispiel kommt die winlogon.exe in der mwa.log dreimal vor!

Fri Dec 03 16:57:24 2004 => File C:\WINDOWS\System32\netcfg.dll infected by "Trojan-Downloader.Win32.Small.abx" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:57:27 2004 => File C:\WINDOWS\system32\netssh.exe infected by "Trojan-Dropper.Win32.Small.nr" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:59:20 2004 => File C:\WINDOWS\System32\netcfg.dll infected by "Trojan-Downloader.Win32.Small.abx" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:20 2004 => Scanning File C:\WINDOWS\System32\Gdigmnna.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\Gdigmnna.exe infected by "Backdoor.Win32.Padodor.ag" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\qppmmia.dat
Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\Jalgin32.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\Jalgin32.exe infected by "Backdoor.Win32.Padodor.ag" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\odbcfg32.dll
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\odbcfg32.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\netssh.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\netssh.exe infected by "Trojan-Dropper.Win32.Small.nr" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\p2pserv.dll
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\p2pserv.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\rsn.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\rsn.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\getdns.exe
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\getdns.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken.

Fri Dec 03 16:59:21 2004 => Scanning File C:\WINDOWS\System32\clfmon.exe.vir
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\clfmon.exe.vir infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.
Fri Dec 03 16:59:21 2004 => File C:\WINDOWS\System32\clfmon.exe.vir1 infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken.

ab hier wiederholt sich alles. Soll ich die ganze mav.log posten oder anhaengen, hat ungefaehr 2,7MB?

LG Aleks

Alt 03.12.2004, 18:13   #11
Lutz
 

Trusted Zone: http://*.63.219.181.7 -> help me please - Standard

Trusted Zone: http://*.63.219.181.7 -> help me please



Hallo aleks,

Zitat:
Kann es sein, dass ich den eScan zu frueh abgebrochen hab, oder hoert dieser einfach nichtauf zu scannen und faengt immer vorn wieder an (v 4.6.9)? Zum Beispiel kommt die winlogon.exe in der mwa.log dreimal vor!
Ich kenne keine Einstellung bei eScan, die Dich in eine Endlosschleife führt.
Der Scan kann aber je nach Menge der infizierten Dateien und nach Leistungsfähigkeit des Rechners einige Stunden (!) in Anspruch nehmen. Lass eScan einmal komplett durchlaufen. Am Besten im abgesicherten Modus.

Die im letzten Post aufgeführten Dateien kannst Du auf jeden Fall alle löschen!
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu Trusted Zone: http://*.63.219.181.7 -> help me please
acrobat, adobe, application, button, dateien, explorer, help, hijack, hijackthis, hilfe, hilfe!, hilfe!!, internet, internet explorer, microsoft, popups, probleme, programme, rechner, registry, software, start, system, system32, tcpip, virusscan, windows, windows xp



Ähnliche Themen: Trusted Zone: http://*.63.219.181.7 -> help me please


  1. Trusted Computing: Bundesregierung entwickelt Position weiter
    Nachrichten - 13.11.2015 (0)
  2. Trusted Computing fürs Auto
    Nachrichten - 17.04.2015 (0)
  3. 31C3: Warnung vor Secure Boot und Trusted Computing
    Nachrichten - 29.12.2014 (0)
  4. Hohe CPU-Auslastung und Trusted Zone
    Plagegeister aller Art und deren Bekämpfung - 26.12.2014 (3)
  5. Trusted Web und TrustedShopper entfernen
    Anleitungen, FAQs & Links - 24.02.2014 (2)
  6. Infektion mit http://www.qvo6.com und http://static.icmapp.com
    Log-Analyse und Auswertung - 04.12.2013 (7)
  7. Rechte eingeschränkt, Fake Zertifikate,Trusted Installer GROOVEEX.DLL und Server auf dem Rechner eingerichtet
    Plagegeister aller Art und deren Bekämpfung - 11.04.2013 (9)
  8. Trusted Shop Fake Mail mit Virus-PDF
    Log-Analyse und Auswertung - 26.02.2013 (3)
  9. Regierung formuliert Richtlinien für Trusted Computing in der Verwaltung
    Nachrichten - 19.11.2012 (0)
  10. Trusted Installer
    Alles rund um Windows - 26.03.2012 (17)
  11. 'http' protocol is in My Computer Zone, should be Internet Zone
    Log-Analyse und Auswertung - 26.08.2011 (17)
  12. URL Zone, url zone, spy.bebloh.A.5, browsy.A, crypr.xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 12.12.2009 (3)
  13. Problem mit O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should...
    Log-Analyse und Auswertung - 12.02.2009 (1)
  14. trusted zone eintrag
    Log-Analyse und Auswertung - 13.02.2005 (4)
  15. Trusted zone entfernen
    Plagegeister aller Art und deren Bekämpfung - 07.12.2004 (11)
  16. Kann Trusted Zone Eintrag nicht 'Fix checken'
    Log-Analyse und Auswertung - 06.12.2004 (16)
  17. Trusted Computing 2004: Was vom Schlagwort übrig blieb
    Überwachung, Datenschutz und Spam - 06.07.2004 (0)

Zum Thema Trusted Zone: http://*.63.219.181.7 -> help me please - Ich habe Probleme mit popups die regelmaessig erscheinen und mich auf meinen infzierten Rechner hinweisen - gelegentlich laden sie mich auch zum Poker ein! bitte um Hilfe!!! Logfile of HijackThis - Trusted Zone: http://*.63.219.181.7 -> help me please...
Archiv
Du betrachtest: Trusted Zone: http://*.63.219.181.7 -> help me please auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.