Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Cash Back Hund

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.08.2004, 23:39   #1
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



HI,
ich hoffe Ihr könnt mir bei meinem Problem helfen....
Ich habe seit neustem einen Hund in meiner Taskleiste rechts.....
Is irgendwie von cashback und nich kaputt zu bekommen....

Weiß jemand Rat?


MFg Ollrich

Alt 22.08.2004, 23:44   #2
mmk
 
Cash Back Hund - Standard

Cash Back Hund



http://www.trojaner-board.de/51130-a...ijackthis.html - LogFile erstellen und bitte hier posten.
__________________

__________________

Alt 22.08.2004, 23:50   #3
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



DANKE HABE DAS PROBLEM ABER EBEN SELBST GELÖST!



Logfile of HijackThis v1.98.2
Scan saved at 00:49:43, on 23.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\gearsec.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WINDOWS2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\eczbsuw.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\WINDOWS\System32\SASEURHJ.EXE
C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe
C:\Program Files\WindUpdates\WinKA.exe
C:\Programme\NaviSearch\bin\nls.exe
C:\WINDOWS\System32\lsrv.exe
C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\CashBack\bin\cashback.exe
C:\Dokumente und Einstellungen\Oliver\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.giga.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1browserhelper2.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll
O2 - BHO: EventHandler Class - {9FB534E3-67CB-4307-AE0A-9E8B5581BE2C} - C:\PROGRA~2\WINDOW~2\WinSB.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.0002.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Winsock2] WINDOWS2.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Services] lsrv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [agrkuwl] C:\WINDOWS\System32\eczbsuw.exe
O4 - HKLM\..\Run: [WindUpdates] C:\Program Files\WindUpdates\WinUpdt.exe
O4 - HKLM\..\Run: [Windows SA] C:\Program Files\WindowsSA\omniscient.exe
O4 - HKLM\..\Run: [Winsock4] SASEURHJ.EXE
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [CashBack] C:\Programme\CashBack\bin\cashback.exe
O4 - HKLM\..\Run: [NaviSearch] C:\Programme\NaviSearch\bin\nls.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [lmv] C:\WINDOWS\lmv.exe
O4 - HKLM\..\RunServices: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [Microsoft Services] lsrv.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [Winsock4] SASEURHJ.EXE
O4 - HKCU\..\RunOnce: [Winsock2] WINDOWS2.EXE
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: DSLMON.lnk = C:\Programme\Analog Devices\AT-AR215 USB ADSL MODEM\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...17002f5b97a1db
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEA5BE7F-EBDB-4002-90D9-6FBBFCC8A88E}: NameServer = 217.237.150.33 194.25.2.129
__________________

Alt 22.08.2004, 23:52   #4
mmk
 
Cash Back Hund - Ausrufezeichen

Cash Back Hund



Das sieht nicht gut aus bei dir - die Cashback-Adware ist das geringste Problem. Viel schwerwiegender sind die aktiven Trojaner und Backdoors!

Mehr dazu gleich, einen Moment bitte!
__________________
Grüße, Markus

Alt 22.08.2004, 23:55   #5
mmk
 
Cash Back Hund - Standard

Cash Back Hund



1.) Geh in Windows in die Systemsteuerung (z.B. >Arbeitsplatz >Systemsteuerung).
2.) Wechsele dort in die Ordneroptionen, Registerkarte Ansicht.
3.) Nimm folgende Einstellungen vor:

Haken rausnehmen bei "Geschützte Systemdateien ausblenden".
Haken setzen bei "Inhalte von Systemordnern anzeigen".
Haken setzen bei "Alle Dateien und Ordner anzeigen".
Haken setzen bei "Versteckte Dateien und Ordner anzeigen".

Mach das erstmal, dann geht es gleich weiter bei Punkt 4.)

4.) Such nach diesen Dateien:
C:\WINDOWS\System32\WINDOWS2.EXE
C:\WINDOWS\System32\eczbsuw.exe
C:\WINDOWS\System32\SASEURHJ.EXE
C:\WINDOWS\lmv.exe
C:\WINDOWS\System32\lsrv.exe

Prüf sie hier (-> http://www.kaspersky.com/de/scanforvirus ) und poste dann die Ergebnisse. Mach erst nach dem Posten bei Punkt 5.) weiter.


5.) Weitere Dateien, die zu prüfen wären:

C:\Program Files\WindUpdates\WinKA.exe
C:\Program Files\WindUpdates\WinUpdt.exe
C:\Programme\NaviSearch\bin\nls.exe
C:\Programme\CashBack\bin\cashback.exe
C:\WINDOWS\nem219.dll
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\msbe.dll

__________________
Grüße, Markus

Geändert von mmk (23.08.2004 um 00:01 Uhr)

Alt 23.08.2004, 00:05   #6
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



Zu überprüfende Datei: WINDOWS2.EXE

WINDOWS2.EXE - packed with ASPack
WINDOWS2.EXE Infiziert: Backdoor.Spyboter.gen


Statistiken:
Bekannte Viren: 97030 Updated: 23-08-2004
Größe der Datei (Kb): 22 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


C:\WINDOWS\System32\eczbsuw.exe kam nichts.....


Zu überprüfende Datei: SASEURHJ.EXE

SASEURHJ.EXE - packed with ASPack
SASEURHJ.EXE Infiziert: Backdoor.Spyboter.gen


Statistiken:
Bekannte Viren: 97030 Updated: 23-08-2004
Größe der Datei (Kb): 22 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0


Zu überprüfende Datei: lmv.exe

lmv.exe Ok


Statistiken:
Bekannte Viren: 97030 Updated: 23-08-2004
Größe der Datei (Kb): 92 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0




Zu überprüfende Datei: lsrv.exe

lsrv.exe - packed with UPX
lsrv.exe Infiziert: Backdoor.Rbot.gen


Statistiken:
Bekannte Viren: 97030 Updated: 23-08-2004
Größe der Datei (Kb): 87 Viren-Korpus: 1
Datei: 2 Warnungen: 0
Archive: 0 Verdächtigt: 0



Soll ich jetzt weiter prüfen?

Alt 23.08.2004, 00:13   #7
mmk
 
Cash Back Hund - Standard

Cash Back Hund



OK, zu den Ergebnissen aus Punkt 4.):

A.) Öffne den Taskmanager (Strg Alt Entf zugleich drücken). Bleibt er offen, oder wird er gleich wieder geschlossen? Falls er nicht offen bleibt, geh in >Windows >System32, kopiere die Datei taskmgr.exe, füge die Kopie dann auf dem Desktop ein und benenn die Datei um in pruefung1.com. Klick sie doppelt - der Taskmanager sollte nun offen bleiben.

B.) Markiere alle unter 4.) genannten Dateien bzw. Prozesse im Taskmanager. Wähle dann "Prozesse beenden" und bestätige mit OK.

C.) Geh in die entsprechenden Ordner, klick die unter 4.) genannten Dateien mit rechts an, wähle "Ausschneiden", und füg sie dann einzeln in einen Quarantäneordner wieder ein (Rechtsklick ins Leere, dann "Einfügen"). Diesen Quarantäneordner mit beliebigem Namen musst du dir zuvor selbst erstellen, z.B. unter "Eigene Dateien".

Klappt das soweit?
__________________
Grüße, Markus

Alt 23.08.2004, 00:15   #8
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



Zu überprüfende Datei: WinKA.exe

WinKA.exe - packed with UPX
WinKA.exe Infiziert: TrojanDownloader.Win32.Agent.bf



Zu überprüfende Datei: WinUpdt.exe

WinUpdt.exe - packed with UPX
WinUpdt.exe Infiziert: TrojanDownloader.Win32.Agent.bf


Zu überprüfende Datei: nls.exe

nls.exe Ok




CASH Back habe ich gelöscht...


Zu überprüfende Datei: nem219.dll

nem219.dll - packed with UPX
nem219.dll Infiziert: TrojanDownloader.Win32.Dyfuca.gen


Zu überprüfende Datei: nvms.dll

nvms.dll Ok



Zu überprüfende Datei: mscb.dll

mscb.dll Ok


Zu überprüfende Datei: msbe.dll

msbe.dll Ok

Alt 23.08.2004, 00:19   #9
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



Zitat:
Zitat von mmk
OK, zu den Ergebnissen aus Punkt 4.):

A.) Öffne den Taskmanager (Strg Alt Entf zugleich drücken). Bleibt er offen, oder wird er gleich wieder geschlossen? Falls er nicht offen bleibt, geh in >Windows >System32, kopiere die Datei taskmgr.exe, füge die Kopie dann auf dem Desktop ein und benenn die Datei um in pruefung1.com. Klick sie doppelt - der Taskmanager sollte nun offen bleiben.

B.) Markiere alle unter 4.) genannten Dateien bzw. Prozesse im Taskmanager. Wähle dann "Prozesse beenden" und bestätige mit OK.

C.) Geh in die entsprechenden Ordner, klick die unter 4.) genannten Dateien mit rechts an, wähle "Ausschneiden", und füg sie dann einzeln in einen Quarantäneordner wieder ein (Rechtsklick ins Leere, dann "Einfügen"). Diesen Quarantäneordner mit beliebigem Namen musst du dir zuvor selbst erstellen, z.B. unter "Eigene Dateien".

Klappt das soweit?



Bis auf die IMV.exe konnt ich alle aus dem taskmgr schließen......(war nicht drin)
BIn jetzt grade beim auschneiden und in ordner setzen....

Geändert von Ollrich (23.08.2004 um 00:25 Uhr)

Alt 23.08.2004, 00:21   #10
mmk
 
Cash Back Hund - Standard

Cash Back Hund



Zitat:
Zitat von Ollrich
Bis auf die IMV.exe konnt ich alle aus dem taskmgr schließen......(war nicht drin)
BIn jetzt grade beim auschneiden und in ordner setzen....
Ja, stimmt, die war nicht unter den aktiven Prozessen gelistet - hab sie aber vorsichtshalber genannt.

Frage: Ist das Einzelplatzrecher, oder hängt der im Netzwerk? Gehst du über eine DFÜ-Verbindung online?
__________________
Grüße, Markus

Alt 23.08.2004, 00:24   #11
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



Zitat:
Zitat von mmk
Ja, stimmt, die war nicht unter den aktiven Prozessen gelistet - hab sie aber vorsichtshalber genannt.

Frage: Ist das Einzelplatzrecher, oder hängt der im Netzwerk? Gehst du über eine DFÜ-Verbindung online?

Nein er ist mit keinem andern rechner gekoppelt....
Ja gehe ich...

Alt 23.08.2004, 00:25   #12
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



BIn jetzt fertig mit 4!


Übrigens Danke für die Hilfe

Alt 23.08.2004, 00:27   #13
mmk
 
Cash Back Hund - Standard

Cash Back Hund



Und du gehst über DFÜ-Verbindung online? Dann geh bitte in >Systemsteuerung >Netzwerkverbindungen. Dort müsste unter "DFÜ" die Verbindung aufgelistet sein, mit der du online gehst. Klick sie mit rechts an, wähle "Eigenschaften", dann Registerkarte "Erweitert", dort einen Haken setzen, um die XP Verbindungsfirewall zu aktivieren. Bestätige mit OK. Klappt das?
__________________
Grüße, Markus

Alt 23.08.2004, 00:31   #14
Ollrich
 
Cash Back Hund - Standard

Cash Back Hund



Habe ich schon

Alt 23.08.2004, 00:32   #15
mmk
 
Cash Back Hund - Standard

Cash Back Hund



Das heißt, sie war bereits aktiviert? Seit wann?
__________________
Grüße, Markus

Antwort

Themen zu Cash Back Hund
cashback, hoffe, kaputt, meinem, problem, taskleiste



Ähnliche Themen: Cash Back Hund


  1. Back again
    Plagegeister aller Art und deren Bekämpfung - 02.06.2015 (19)
  2. Payments and cash management - HSBC Spam: Payment Advice
    Diskussionsforum - 15.01.2015 (1)
  3. cash-trojaner in form von antivirus programm
    Plagegeister aller Art und deren Bekämpfung - 27.12.2012 (19)
  4. U-Cash Virus
    Log-Analyse und Auswertung - 23.11.2012 (21)
  5. U-Cash-Trojaner startet bei Browserstart und legt Vista lahm
    Log-Analyse und Auswertung - 25.09.2012 (36)
  6. U-cash-Trojaner bei Windows XP SP3
    Log-Analyse und Auswertung - 10.09.2012 (15)
  7. U Cash GVU 2.07 eingefangen
    Plagegeister aller Art und deren Bekämpfung - 31.07.2012 (4)
  8. Windows Trojaner mit 100 Euro U cash Aufforderung!
    Plagegeister aller Art und deren Bekämpfung - 07.06.2012 (3)
  9. BKA Trojaner / U Cash 100 Euro
    Log-Analyse und Auswertung - 04.04.2012 (17)
  10. Problem mit https nach BKA-Cash-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (11)
  11. srvaju23.exe - Der Hund will sich nicht löschen lassen :/
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (5)
  12. I'm back!
    Mülltonne - 05.09.2005 (17)
  13. Cash Back Hund und andere Werbedinger
    Plagegeister aller Art und deren Bekämpfung - 22.02.2005 (8)
  14. Doofer Hund (Cashback)
    Log-Analyse und Auswertung - 17.12.2004 (4)
  15. Hund ind der Taskleiste/ CashBack
    Plagegeister aller Art und deren Bekämpfung - 01.09.2004 (9)

Zum Thema Cash Back Hund - HI, ich hoffe Ihr könnt mir bei meinem Problem helfen.... Ich habe seit neustem einen Hund in meiner Taskleiste rechts..... Is irgendwie von cashback und nich kaputt zu bekommen.... Weiß - Cash Back Hund...
Archiv
Du betrachtest: Cash Back Hund auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.