Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: http://clicks.+++++.net/

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 26.08.2004, 21:45   #1
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.spazbox.net/



Hallo,

seit einer Woche öffnet sich automatisch diese Internetseite: http://clicks.~~~.net/ sobald ich über den Smartsurfer mich ins Internet einwähle. Man sieht, dass versucht wird irgendwelche Sachen zu installieren. Habe fast das Gefühl, es handelt sich um einen kostenpflichtigen Sexbilderdienst oder ähnlich. Habe schon viel versucht, diese automatische Laden/Starten zu stoppen, doch es gelingt einfach nicht. Sobald der PC neu gestartet wird ist alles wieder beim alten. Im Internet habe ich in 2 Seiten gefunden (Japan/England) die selbiges Problem seit kurzen haben. Ist wohl was neues, oder? Leider hatte noch keiner den beiden geantwortet.
Wer hat eine Lösung für dieses Problem. Bin wie die meisten hier im Forum für jeden Rat dankbar. Gruß an alle.

Geändert von Eisbaer (30.08.2004 um 20:16 Uhr)

Alt 26.08.2004, 23:50   #2
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Befolge bitte:

http://www.trojaner-board.de/42731-escan-anleitung.html

und poste dann ein Log von

http://www.trojaner-board.de/51130-a...ijackthis.html
__________________


Alt 28.08.2004, 18:45   #3
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo Mountenking,

vielen Dank vorab. Zuerst habe ich den Free eScan Antivirus Toolkit Utility geladen und alle Viren vernichtigt. Jetzt folgt der Log-Bericht von HijackThis und bin sehr auf deine Antwort gespannt. Ein schönes Wochenende.
Logfile of HijackThis v1.98.2
Scan saved at 19:26:29, on 28.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Saitek\Saitek Gaming Extensions\SaiCnfig.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Dokumente und Einstellungen\Klaus\Eigene Dateien\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iwantsearch.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.karstadt.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\WINDOWS\PCHealth\HelpCtr\System\panels\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.ebay.de/
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\rundlg32.dll (file missing)
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: eBay Helper Object - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] c:\Programme\Saitek\Saitek Gaming Extensions\SaiCnfig.exe /autorun
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [REGRUN] C:\arsetup.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\soht.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: eBay Toolbar.LNK = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.karstadt.de/
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...edc6930d701879
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/200...Inc/bridge.cab
__________________

Alt 28.08.2004, 19:23   #4
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Was wurde von E-Scan denn gefunden, das wäre ziemlich wichtig zu wissen.

Deaktiviere die Systemwiederherstellung

http://www.systemwiederherstellung-d...indows-xp.html

dann fixe mit Hijackthis:

C:\WINDOWS\Downloaded Program Files\eBayTBar.exe
alle R0 + R1 Einträge (Startseite kannst du dann später wieder neu vergeben)
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959}
O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - (no file)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\system32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\system32\mscb.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\system32\msbe.dll
O3 - Toolbar: eBay Toolbar - {46AE04C0-BCFA-4728-90E7-00EB4A8B3863} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file)
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Klaus\Anwendungsdaten\soht.exe
O4 - Global Startup: eBay Toolbar.LNK = ?
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O9 - Extra 'Tools' menuitem: eBay Toolbar - {92D7F210-7F20-11d3-8157-0090278B20DE} - C:\WINDOWS\Downloaded Program Files\eBayBand.dll
O16 - DPF: {001F2570-5DF5-11D3-B991-00A0C9BB0874} (eBay Helper Object) - http://download.ebay.com/toolbar/de/eBayTBar.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f... dc6930d701879
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/20...TInc/bridge.cab

Starte in den abgesicherten Modus und lösche -so sie noch vorhanden sind-die Files:

eBayBand.dll
nvms.dll
mscb.dll
msbe.dll
Winad.exe
soht.exe
sidefind.dll

Starte dann noch einmal und erstelle ein neues Log. Die Ebay_bar solltest du eventuell nicht wieder installieren, da sie wohl Spyware enthält.
Hast du Regrun selbst installiert?

Alt 28.08.2004, 22:12   #5
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo Mountenking,

soll ich die mwxface.log mal posten? Regrun habe ich nicht installiert. Was ist Regrun?

Fixen werde ich morgen früh erst bzw. möchte deine Antworten erst abwarten.

Vielen Dank vorab Klalos


Alt 28.08.2004, 23:59   #6
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Ich frage wegen dieser Zeile:

O4 - HKLM\..\Run: [REGRUN] C:\arsetup.exe

die mir sehr verdächtig erscheint. Es gibt zwar wohl ein Programm namens Regrun, das aber kaum mit einem solchen Verweis gestartet werden würde und wenn du es nicht installiert hast, sieht mir das wie ein weiterer Schädling aus.

Schick diese arsetup.exe sie mal per mail an: virus@av.klaffke.info mit einem Link zu diesem Thread.

Das ganze Log dürfte etwas zu groß sein, vielelicht kannst du ja die Namen der gefundenen Schädlinge irgendwie herausfinden. Geht schlicht darum, wenn da einige Trojaner/Backdoorprogramme dabei waren würde ich gar nicht mehr groß rumbasteln, sondern neu installieren an deiner Stelle.

Alt 29.08.2004, 11:00   #7
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo Mountenking,

die arsetup.exe wollte ich kopieren, klappte aber nicht. So habe diese auf Viren überprüft und es war eine Win32/SecdropF.Trojan (erkannt von eTrust Antivirus und ist jetzt bereinigt. Kann diese somit nicht mehr versenden.)

Anbei der mxXface.Log mit den gefundenen Viren. Schaue dort bitte mal rüber und sage mir freundlicherweise was zu tun/bedenken ist. Werde dann nach der Antwort fixen. Schönen Sonntag noch.

10 Minuten später:
Tja, jetzt sollte eigentlich der Log folgen, aber das Ganze war wohl doch zu u mfangreich zum anhängen. Werde jetzt fixen und anschließend mich dazu melden.

Alt 29.08.2004, 11:16   #8
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Diese exe dürfte der Verursacher deiner Probleme gewesen sein:

http://www3.ca.com/securityadvisor/v....aspx?ID=39626

Schau unbedingt bei deinen Internetsettings nach und stelle die Sicherheitsstufen wieder höher. Noch besser: Wechsel zu einem alternativen Browser wie Opera, Firefox, Mozilla. Den IE nur noch für Windowsupdate verwenden und iimmer (egal welcher Browser) darauf achten, die aktiven Inhalte (Active-X, Java-Script, VBS) standarnäßig zu deaktivieren. Kommst du mal auf eine Seite, die es unbedingt erfordert, schalte es nur ein, wenn diese vertrauenswürdig ist, beispielsweise beim Windowsupdate, deaktiviere es danach wieder.
Ich brauche wirklich nicht das ganze Log, kopiere einfach die Namen der gefundenen Viren heraus, die Dateien, in denen sie waren, sind nicht so wichtig zunächst. Bei dem obigen Schädling würde ich mal sagen, eine Neuinstallation ist nicht unbedingt nötig, wenn du aber noch andere, schlimmere Trojaner hattest, solltest du das machen.

Alt 29.08.2004, 11:41   #9
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo Mountenking,

an bei mein letzter Log:

Logfile of HijackThis v1.98.2
Scan saved at 12:36:42, on 29.08.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Saitek\Saitek Gaming Extensions\SaiCnfig.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Klaus\Eigene Dateien\Download\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] c:\Programme\Saitek\Saitek Gaming Extensions\SaiCnfig.exe /autorun
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

Was meinst du dazu? Alles in Ordnung?
Gruß

Alt 29.08.2004, 11:57   #10
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Sieht soweit in Ordnung aus. Ich hätte trotzdem gern noch gewusst, was E-Scan gefunden hat...

Alt 29.08.2004, 12:04   #11
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo Montenking,

wohin soll ich die Datei senden? Anhängen funktioniert ja nicht.
Gruß

Alt 29.08.2004, 12:08   #12
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Ich will wirklich nicht das ganze Log. Wenn du es dir mal anschaust und die Namen der gefundenen Schädlinge herauskopierst, genügt das völlig.

Alt 29.08.2004, 12:44   #13
klalos
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Hallo MountainKing,

entschuldige erst mal das ich deinen Namen öfters falsch geschrieben habe. Des weiteren habe ich geschrieben und deine Mitteilungen nicht gelesen.

Anbei die gewünschten Daten:
Trojan.Win32.Winad.a
AdvWare.PurityScan.t
TrojanDownloader.Win32.PurityScan.i
TrojanDownloader.Win32.Agent.bf
TrojanClicker.Win32.Agent.n
TrojanDownloader.Win32.PurityScan.i
TrojanClicker.Win32.Delf.r
TrojanSpy.Win32.Briss.g
AdvWare.ToolBar.SideFind
AdvWare.BiSpy.f
AdvWare.Exact.a
TrojanDownloader.Win32.Agent.ae
Backdoor.Rbot.gen
AdvWare.180Solutions
TrojanDownloader.Win32.IstBar.gen
TrojanDownloader.Win32.IstBar.fp
AdvWare.PurityScan.u
TrojanDropper.Win32.Delf.z
TrojanDownloader.Win32.Dyfuca.cy
AdvWare.PowerScan.b
TrojanDownloader.Win32.Agent.ae
AdvWare.ToolBar.SideFind
TrojanDownloader.Win32.IstBar.fr
AdvWare.Exact.a
AdvWare.PurityScan.t Backdoor.Rbot.gen

Gruß

Alt 29.08.2004, 13:04   #14
MountainKing
 
http://clicks.+++++.net/ - Standard

http://clicks.+++++.net/



Das mit dem Namen ist nicht schlimm. Schlimmer ist leider die Liste der Schädlinge, denn sowas hatte ich befürchtet. Wenn du ein wenig zu den Namen googelst, wirst du sehen, dass das einige sehr gefährliche Exemplare sind, die u.a. auch deine Passworte gelogged und anderen mitgeteilt haben können (Briss, Rbot). Das ist der Fall, von dem ich gesprochen habe, dein aktuelles Log sieht zwar sauber aus, aber wenn ein System einmal kompromittiert wurde, ist es nicht mehr vertrauenswürdig, denn ein Angreifer kann es auf alle erdenkliche Weise manipuliert haben, die du mit allen Tools und Virenscannern nicht finden wirst.

Lektüre dazu:
http://www.mathematik.uni-marburg.de...ompromise.html
http://faq.underflow.de/

Die einzige Methode, bei der du wirklich sicher sein kannst, wieder ein vertrauenswürdiges System zu haben, ist:


1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, firefox, Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte Mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten


Es MUSS nicht sein, dass das bei dir der Fall ist, es ist möglich, dass die Reparatur zunächst "erfolgreich" war und letztlich musst du selbst entscheiden, was du tun willst. Ich rate definitiv zum Abarbeiten dieser 10 Punkte. MINDESTENS solltest du alle deine Passworte ändern.

Alt 29.08.2004, 17:51   #15
klalos
 
http://clicks.+++++.net/ - Daumen hoch

http://clicks.+++++.net/



Hallo MountainKing,

dann werde ich mal mit den Passwörter und Firefox anfangen.

Vielen, vielen Dank für alles.

Werde mich bei Bedarf noch mal melden.

Hoffe unser Austausch hilft noch vielen anderen.

Gruß

Antwort

Themen zu http://clicks.+++++.net/
automatisch, automatische, einfach, forum, gelingt, gestartet, handel, interne, internetseite, kurze, lösung, neu, neues, problem, sache, sachen, seite, seiten, sich automatisch, smartsurfer, sobald, stoppen, surfer, versucht, woche, worte, öffnet, öffnet sich automatisch



Ähnliche Themen: http://clicks.+++++.net/


  1. Ungewollte Startseiten: *http://wisersearch.com/?channel=de_nt* und *http://search.fbdownloader.com/?channel=sfde203fbdgy21*
    Log-Analyse und Auswertung - 16.12.2013 (13)
  2. Infektion mit http://www.qvo6.com und http://static.icmapp.com
    Log-Analyse und Auswertung - 04.12.2013 (7)
  3. http://dfs.pathdone.net/sd/cpops-1.2.0.html?u=http%3A%2F%2Fdfs.pathdone.net%2Fsd%2Fapps%2Ffusionx%2F0.0.4.html%3Faff%3D1060-8002&p=LyricsSay
    Plagegeister aller Art und deren Bekämpfung - 29.10.2013 (13)
  4. Vista laptop nimmt keine clicks auf Programmsymbole an
    Log-Analyse und Auswertung - 24.10.2013 (9)
  5. Win7 - 64bit: Öffnen von http://serve.bannersdontwork.com/text/javascript und http://serve.bannersdontwork.com/&m=true in Firefox
    Log-Analyse und Auswertung - 13.08.2013 (17)
  6. http://www_getwindowinfo/
    Log-Analyse und Auswertung - 31.07.2013 (11)
  7. http://rou.resyncload.net/sd/wrap-0.01.html?u=http%3A%2F%2Frou.resyncload.net%2Fsd%2Fapps%2Fyb1024.html
    Plagegeister aller Art und deren Bekämpfung - 29.07.2013 (11)
  8. Wie entferne ich http://serve.bannersdontwork.com/text/javascript http://serve.bannersdontwork.com/&m=true
    Log-Analyse und Auswertung - 18.06.2013 (10)
  9. http://www.searchnu.com/413
    Plagegeister aller Art und deren Bekämpfung - 17.10.2012 (1)
  10. http://www.searchnu.com/410
    Log-Analyse und Auswertung - 24.04.2012 (7)
  11. http://www.searchqu.com/406
    Log-Analyse und Auswertung - 07.07.2011 (8)
  12. http://www.x-xn.com
    Plagegeister aller Art und deren Bekämpfung - 01.09.2009 (5)
  13. clicks.smartbizsearch - Bitte um Auswertung
    Log-Analyse und Auswertung - 13.04.2008 (4)
  14. ">"">><meta http-equiv="Refresh" content="0;url=http://askimizsonsuza.com/code/">"">
    Plagegeister aller Art und deren Bekämpfung - 04.09.2006 (4)
  15. http://www.updatesystempage.com/
    Log-Analyse und Auswertung - 06.01.2006 (2)
  16. http:///
    Plagegeister aller Art und deren Bekämpfung - 02.01.2005 (3)
  17. http://195.225.176.14/
    Plagegeister aller Art und deren Bekämpfung - 20.06.2004 (2)

Zum Thema http://clicks.+++++.net/ - Hallo, seit einer Woche öffnet sich automatisch diese Internetseite: http://clicks.~~~.net/ sobald ich über den Smartsurfer mich ins Internet einwähle. Man sieht, dass versucht wird irgendwelche Sachen zu installieren. Habe fast - http://clicks.+++++.net/...
Archiv
Du betrachtest: http://clicks.+++++.net/ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.