Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: www.www......de.org

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.02.2004, 15:42   #1
borg22
 
www.www......de.org - Beitrag

www.www......de.org



jo ich weis nicht was das sein könnte aber ich wollt mal ins i-net und hab ganz normal ne adresse eingegeben und da wurde aus
www.web.de-> www.www.web.de.org
und aus
www.waslos.de-> www.www.waslos.de.org
und so weiter.
des is mir zwar nur dreimal passiert aber weis da trotzdem jemand was des verusrsacht haben könnte??? danke

borg22


edit: es gab keine verdächtigen anwendungen im taskdingsbums und ich hab win98SE

Alt 12.02.2004, 16:05   #2
LeoDD
 
www.www......de.org - Beitrag

www.www......de.org



ne, das hat was mit dem IE zu tun...ne Einstellungssache. Weiss aber nich mehr was., da ich ihn schon ewig nich mehr benutze.
__________________

__________________

Alt 12.02.2004, 18:46   #3
Lutz
 

www.www......de.org - Beitrag

www.www......de.org



Moin,

klemmt vielleicht zufällig eine der beiden [STRG]-Tasten??
Wenn man nämlich bei der Eingabe einer Webadresse [STRG] + [ENTER] gleichzeitig drückt, wird die eingegebene Adresse vorne um ein 'www' und am Ende um ein 'org' ergänzt...

tschööö, DerBilk
__________________
__________________

Alt 12.02.2004, 21:35   #4
paff
 
www.www......de.org - Beitrag

www.www......de.org



Du hast dir wohl einen HiJacker eingefangen.

Poste mal das HijackThis Logfile
__________________
Reverse Engineering Malware

Alt 13.02.2004, 06:54   #5
Lucky
/// Helfer-Team
 
www.www......de.org - Beitrag

www.www......de.org



</font><blockquote>Zitat:</font><hr />Original erstellt von paff:
Du hast dir wohl einen HiJacker eingefangen.

Poste mal das HijackThis Logfile
</font>[/QUOTE]Nein das ist nen "Feature" im IE.
Wenn dieser eine Seite nicht finden kann, dann macht er sowas.

Björn

__________________
Kein Support per PM!

Alt 13.02.2004, 07:13   #6
Rene-gad
 
www.www......de.org - Beitrag

www.www......de.org



</font><blockquote>Zitat:</font><hr />...das ist nen "Feature" im IE.
</font>[/QUOTE]...das ist aber nicht dein Ernst, oder ?.

Alt 13.02.2004, 07:43   #7
Lucky
/// Helfer-Team
 
www.www......de.org - Beitrag

www.www......de.org



</font><blockquote>Zitat:</font><hr />Original erstellt von Rene-gad:
</font><blockquote>Zitat:</font><hr />...das ist nen "Feature" im IE.
</font>[/QUOTE]...das ist aber nicht dein Ernst, oder ?.
</font>[/QUOTE]Warum nicht?
siehe Bilks Post.

Feature vom IE:
</font><blockquote>Zitat:</font><hr />

URLs schneller eingeben
Um beispielsweise die Seite http://www.microsoft.com zu besuchen, tippen Sie in der Adressleiste einfach 'microsoft' (ohne '') ein und die Strg + Enter-Tasten drücken.
</font>[/QUOTE]Quelle: http://www.heisig-it.de/ie6_tipps.htm

Warum vermutet ihr eigentlich hinter allem direkt einen Wurm, Trojaner oder sonstige Malware?
Das es vielleicht auch mal ein Feature sein kann??

mfg
Björn
__________________
Kein Support per PM!

Alt 13.02.2004, 07:50   #8
Rene-gad
 
www.www......de.org - Beitrag

www.www......de.org



@Lucky,
Ach, mit der Strg-Taste !!!
Sorry .

Alt 13.02.2004, 11:26   #9
borg22
 
www.www......de.org - Beitrag

www.www......de.org



ok, keine taste klemmt weder Strg noch sonstwas und des ist mir des erste mal passiert sonst noch nicht. und wieso kommt dan hinten ein .org drann wenn er die seite nicht finden kann, denn sosnt komm ich immer auf ein "aktion abbgebrochen" oder "seite kann nicht gefunden werden" o.ä.
und soll ich jetz ein HijackThis logfile posten oder nicht??

Alt 13.02.2004, 11:54   #10
Shadow
/// Mr. Schatten
 
www.www......de.org - Beitrag

www.www......de.org



Ist es immer noch so?
Benutzt Du IE6SP1?
Darufhin updaten + neuste Patches

Suchen in Adressleiste unter EXTRAS=&gt;Internetoptionen ausschaltet
(dort "zur wahrscheinlichsten" eingestellt könnte für sowas schon ausreichen!)

alle Plugins mal melden

lasse den CWShredder drüber laufen
und
SpyBot Search&Destroy oder Adaware

ist es dann immer noch so dann kannst Du das Logfile mal posten.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 13.02.2004, 12:14   #11
borg22
 
www.www......de.org - Beitrag

www.www......de.org



ok ich hab ein HiJackThis-log gemacht der cwsh... geht nicht zum downloaden seite kaputt oder so

Logfile of HijackThis v1.97.7
Scan saved at 13:12:38, on 13.02.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\MHOTKEY.EXE
C:\GMOUSE\GNETMOUS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\GIGABYTE\EASYTUNE\EASYTUNE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\AHEAD\INCD\INCD.EXE
C:\WINDOWS\WT\UPDATER\WCMDMGR.EXE
D:\DETEMEDIEN\GELBESEITEN MAP&ROUTE\OMALARM.EXE
C:\PROGRAMME\GIGABYTE\GIGABYTE WINDOWS UTILITY MANAGER\GWUM.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spaceart.de/
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [gnetmous] C:\Gmouse\gnetmous.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EasyTuneIII] C:\PROGRAMME\GIGABYTE\EASYTUNE\EASYTUNE.EXE
O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [kazaa] C:\PROGRAMME\Kazaa\Kazaa.EXE /SYSTRAY
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\updater\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [YAW starten] "D:\YAW 3.5\yawguard.exe"
O4 - Startup: OfficeManager Terminerinnerung.lnk = D:\DeTeMedien\GelbeSeiten Map&Route\OMAlarm.exe
O4 - Startup: gwum.lnk = C:\Programme\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...875.2055902778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: {BF985246-09BF-11D2-BE62-006097DF57F6} (SimCityX Control) - http://simcity.ea.com/play/classic/SimCityX.cab
O16 - DPF: {BC18E6DF-BE57-4580-93E8-F228F9A133AA} (MaxisSimCity4LotTeleX Control) - http://simcity.ea.com/exchange/lots/...y4LotTeleX.cab


edit:ich lass grad nav durchlaufen mal schaun was er sagt

[ 13. Februar 2004, 13:39: Beitrag editiert von: borg22 ]

Alt 13.02.2004, 12:44   #12
Lutz
 

www.www......de.org - Beitrag

www.www......de.org



Bitte mit HijackThis 'fix'en (Eintrag entfernen):
</font><blockquote>Zitat:</font><hr />O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAMME\MEDIALOADS ENHANCED\ME1.DLL (file missing)</font>[/QUOTE]Die folgenden würde ich fixen, allerdings wird dann Kazaa u. U. nicht mehr korrekt funktionieren:

</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe &lt;-- Advertising spyware. Installed as part of the Kazaa Media Desktop bundle.
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H &lt;-- Medialoads is advertising software - running DownloadWare as its executable. Installed as a bundle with Kazaa Media Desktop.
</font>[/QUOTE]Unabhängig davon glaube ich nicht, dass es sich um Malware handelt. Was sollte jemand davon haben, Leute auf Seiten umzuleiten, die es nicht gibt?!?

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.02.2004, 12:47   #13
borg22
 
www.www......de.org - Beitrag

www.www......de.org



</font><blockquote>Zitat:</font><hr />

Die folgenden würde ich fixen, allerdings wird dann Kazaa u. U. nicht mehr korrekt funktionieren:

Zitat:
--------------------------------------------------------------------------------

O4 - HKLM\..\Run: [SaveNow] C:\Programme\SaveNow\SaveNow.exe &lt;-- Advertising spyware. Installed as part of the Kazaa Media Desktop bundle.
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H &lt;-- Medialoads is advertising software - running DownloadWare as its executable. Installed as a bundle with Kazaa Media Desktop.
</font>[/QUOTE]nicht mehr korrekt funktionieren??in wiefern funzt des dann nimmer???

edit:denn anderen eintrag gefixt. und sonst gabs keine probleme mehr bei dem log-file??

[ 13. Februar 2004, 13:58: Beitrag editiert von: borg22 ]

Alt 13.02.2004, 12:54   #14
Lutz
 

www.www......de.org - Beitrag

www.www......de.org



</font><blockquote>Zitat:</font><hr />in wiefern funzt des dann nimmer??? </font>[/QUOTE]Kann ich Dir leider nicht genau sagen, da ich Kazaa nicht benutze. Ich gehe aber davon aus, dass es wahrscheinlich gar nicht mehr 'funzt'!
Kazaa ist ja dafür bekannt, dass es Ad- und/oder Spyware mitbringt. Wenn man diese Dinge 'ausknipst', laufen die eigentlichen Programme in der Regel gar nicht mehr.

Du must Dich schon entscheiden, ob Du dich weiterhin mit Ad- und/oder Spyware zuballern lassen willst oder in Zukunft auf Kazaa verzichtest.
Eine Alternative kann ich Dir allerdings nicht nennen (falls die Frage kommen sollte), da ich kein Filesharing mache.

tschööö, DerBilk
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 13.02.2004, 13:43   #15
borg22
 
www.www......de.org - Beitrag

www.www......de.org



C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE

was sind denn das für dinger???

Antwort

Themen zu www.www......de.org
adresse, anwendungen, i-net, nicht, verdächtige, win, win98se



Zum Thema www.www......de.org - jo ich weis nicht was das sein könnte aber ich wollt mal ins i-net und hab ganz normal ne adresse eingegeben und da wurde aus www.web.de-&gt; www.www.web.de.org und aus www.waslos.de-&gt; - www.www......de.org...
Archiv
Du betrachtest: www.www......de.org auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.