Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: bin todunglücklich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.05.2005, 15:46   #1
Luxy
 
bin todunglücklich - Standard

bin todunglücklich



Hallo, habe bei malware die win.ini gescannt und folgende Antwort erhalten:
Trojan-Downloader.Agent.lz


Jetzt meldete sich Antivir:

C:\DOKUMENTE UND EINSTELLUNGEN\URSULA\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM

Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Ich mag nicht neu aufsetzen

Gruß
Luxy

Alt 16.05.2005, 15:52   #2
cronos
 
bin todunglücklich - Standard

bin todunglücklich



Wechsel in den angesicherten Modus (wenn du XP oder ME nutzt auch noch die Systemwiederherstellung abschalten):

http://www.systemwiederherstellung-d...indows-xp.html

Lösche für jeden Nutzer den Inhalt folgender Ordner:

C:\Dokumente und Einstellungen\Default User\Cookies\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf


Boote neu, wen du die systemwiederherstellung abgeschaltet hast, schalte sie wieder ein.

Erstelle einen Log mittels Hijackthis:

Kurzanleitung
Auführliche Anleitung


Zitat:
Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!
__________________

__________________

Alt 16.05.2005, 15:57   #3
Luxy
 
bin todunglücklich - Standard

bin todunglücklich



ok, aber wie schalte ich die Systemwiederherstellung ab?
__________________

Alt 16.05.2005, 16:01   #4
cronos
 
bin todunglücklich - Standard

bin todunglücklich



Lies dir den ersten Link durch, den ich dir gegeben hab.
Wähle dein Betriebsystem, dort wird alles beschrieben.
__________________
Only cronos endures

Alt 16.05.2005, 16:01   #5
Haui45
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Zitat von Luxy
ok, aber wie schalte ich die Systemwiederherstellung ab?
Wir können die Links nur posten, lesen musst du sie selbst.


BTW:
Zitat:
C:\DOKUMENTE UND EINSTELLUNGEN\*Benutzername*\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM
Warum verwendest du den IE?


Alt 16.05.2005, 16:17   #6
snooby
 
bin todunglücklich - Standard

bin todunglücklich



Die Lösung, die dir hier beschrieben wurden, helfen nur, um diesen einen Fall zu lösen. Solche Probleme werden aber mit sicherheit immer wieder kommen.

Deswegen, wie Hauni45 shcon gefragt hat, solltest du einen anderen Browser benutzen. Firefox 1.0.4 scheind ohne zweifel die beste Alternative zu sein.

Der Grund dafür ist dieser: IE ist sehr verbreitet, udn daher ein beliebtes Angriffsziel für Virenschreiber/Würmerschreiber/Spione und andere Leute, dessen Kreationen dir schaden können. Da FireFox nciht so verbreitet ist, gibt es dafür auch keine Maleware.

Außerdem sind bei FireFox alle Sicherheitslücken (so fern überhaupt welche entdeckt wurden) innerhalb von wenigen Tagen behoben worden. Bei Mircosoft dauert ein neues Update mitunter 3 Wochen nach dem Bekanntwerden der Sicherheitslücke. Manche wurden noch dazu noch gar nicht behoben (und scheinen es auch nicht zu werden).

Falls du bedenken hast: FireFox hat den gleichen aufbau wie IE, sieht fast gleich aus usw, ist eben nur sicherer, schneller und kleiner!

grüsse, Mario
__________________
--> bin todunglücklich

Alt 16.05.2005, 16:39   #7
Luxy
 
bin todunglücklich - Standard

bin todunglücklich



Ich verspreche hoch und heilig....sobald dieses Problem gelöst ist, werde ich den IE nie wieder verwenden!!!!!

Hier das Logfile, allerdings bin ich mir nicht sicher, alles richtig gemacht zu haben:

Logfile of HijackThis v1.99.1
Scan saved at 17:33:17, on 16.05.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Microsoft Works\WksSb.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\wuauclt.exe
C:\unzipped\hijackthis_199\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB001" /M "Stylus C44"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: ISDNWatch.lnk = D:\IWatch.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {543CDDE7-DF47-47DD-9339-0B023AC5DCA8} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - [url]https://xxxxxxxxxxxxxx16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [url]http://tools.xxxxxxxxx/eps/wl/
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{184AA35C-D4D5-4040-9319-96E8BC2A7775}: NameServer = 192.168.121.252,192.168.121.253
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\eEBAPI\SAgent2.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: DataDesign AG Chipdrive SCARD Service (TWKSCARDSRV) - TOWITOKO - German Technology - C:\WINDOWS\SCARDS32.EXE
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Geändert von Luxy (16.05.2005 um 17:13 Uhr)

Alt 16.05.2005, 16:49   #8
rock
 
bin todunglücklich - Standard

bin todunglücklich



also bevor du den rechner umdrehst, lösch einfach die offlineinhalte der tempfiles. da wo das exploit gemeldet wurde. das kann vorkommen das man auch bei forenseiten ein Exploit aus geposteten links aus logs gemeldet bekommt. schau dir die beschreibungen zu dem exploit an.

einige bitdefender einträge sind unnötig.

edit:
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

hier ist beschrieben wie du die tempfiles + OFFLINEINHALTE! wegbekommst:
http://members.linzag.net/680262/Antivir/03.html

Alt 16.05.2005, 16:54   #9
snooby
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Ich verspreche hoch und heilig....sobald dieses Problem gelöst ist, werde ich den IE nie wieder verwenden!!!!!
hehe! Dann hast wenigstens solche Probleme nicht mehr!
__________________
'Imagine all the people living life in peace' - - - John Lennon

Alt 16.05.2005, 17:07   #10
Luxy
 
bin todunglücklich - Icon17

bin todunglücklich



Hab jetzt alles gemacht, was rock geschrieben hatte. Wenn ich mir jetzt Firefox runterlade, ist dann mein Rechner wieder sauber?

Ganz lieben Dank an Alle.

Luxy

Alt 16.05.2005, 17:11   #11
snooby
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Wenn ich mir jetzt Firefox runterlade, ist dann mein Rechner wieder sauber?
Der Rechner ist vorher schon sauber, nur wird er früher (heute) oder später (übermorgen) wieder infiziert sein
__________________
'Imagine all the people living life in peace' - - - John Lennon

Alt 16.05.2005, 17:36   #12
rock
 
bin todunglücklich - Standard

bin todunglücklich



luxy..wenn du ein bissl paranoid bist, und wegen dem exploit jetzt schon halb umfällst...warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla...

der firefox allein macht's kraut nicht fett...

Alt 16.05.2005, 18:04   #13
Luxy
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Zitat von rock
luxy..wenn du ein bissl paranoid bist, und wegen dem exploit jetzt schon halb umfällst...warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla...

der firefox allein macht's kraut nicht fett...

ähm.....was würdest Du denn vorschlagen? Aber wenn, dann bitte einen in deutscher Sprache.
Viele Grüße
Luxy

Alt 16.05.2005, 18:12   #14
rock
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Zitat von Luxy
ähm.....was würdest Du denn vorschlagen? Aber wenn, dann bitte einen in deutscher Sprache.
Viele Grüße
Luxy

Ich möchte dir nichts einreden...deine Mischung Antivir und Bitdefender Free ist eh ganz okey...so kannst du verdächtige daten immer zweifach prüfen.

Früher oder später wirst du selber feststellen was für dich geeignet ist.

edit3: wenn du weiterhin gratis-schutz bevorzugst; kannst du hier mal klicken/lesen:
http://www.rokop-security.de/index.php?showtopic=1739

Alt 16.05.2005, 18:20   #15
Yopie
Moderator, a.D.
 
bin todunglücklich - Standard

bin todunglücklich



Zitat:
Zitat von rock
warum verwendest du dann eine virenscanner-alternative ohne mailschutz, ohne automatische updates...bla bla....
Bla Bla?

Updates sind imho über den Taskplaner steuerbar. "mailschutz" ist unnötig, da beim Ausführen des Wurm-Anhangs eh der Wächter anschlägt (wenn der Scanner den Wurm erkennt). Das sind also keine Argumente gegen AntivirPE.

Gruß
Yopie

Antwort

Themen zu bin todunglücklich
antivir, antwort, aufsetzen, content.ie5, dokumente, einstellungen, erhalte, erhalten, files, folge, folgende, gescannt, inter, interne, internet, lokale, malware, melde, neu, neu aufsetzen, signatur, temporary, virus


« Bds/ibot.4 | virus? »


Zum Thema bin todunglücklich - Hallo, habe bei malware die win.ini gescannt und folgende Antwort erhalten: Trojan-Downloader.Agent.lz Jetzt meldete sich Antivir: C:\DOKUMENTE UND EINSTELLUNGEN\URSULA\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\K5EZG1IZ\T-17336[1].HTM Enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml Ich mag nicht - bin todunglücklich...
Archiv
Du betrachtest: bin todunglücklich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.