Hallo Zusammen!


Habe vor kurzem von Ebay Post bekommen, daß sie mein Passwort ändern mußten weil sich jemand an meinem Benutzekonto zu schaffen gemacht hat.

Daraufhin hat adaware nen hijacker gefunden und ich dachte, klasse das wars. Was wohl ziemlich naiv war.

Ständig passiert was neues.
Jetzt sind meine ganzen Autostartprogramme deaktiviert, einschließlich Nortons Anti Vir! Und ich kann ihn auch nicht mehr aktivieren, geht nicht.

Wie ihr schon hört, bin ich in PC Dingen nicht allzu bewandert, also slowly please.

OK, wart mal auf Eure Anweisungen.

Grüßle Fleur

Bitte ein Log mit diesem Programm erstellen:

http://www.trojaner-board.de/51130-a...ijackthis.html

Inhalt hier ins Forum posten.

Sorry, daß ich mich jetzt erst wieder melde!
Hier das Log:

Logfile of HijackThis v1.98.2
Scan saved at 00:29:43, on 23.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
F:\PROGRA~1\Norton\NORTON~4\GHOSTS~2.EXE
F:\Programme\Norton\Norton Antivirus\navapsvc.exe
F:\PROGRA~1\Norton\NORTON~2\NPROTECT.EXE
F:\Programme\Adaware\Ad-aware 6\Ad-watch.exe
C:\Programme\FileBX\FileBX.exe
C:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Norton\Norton Antivirus\SAVScan.exe
F:\PROGRA~1\Norton\NORTON~2\SPEEDD~1\NOPDB.EXE
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\WINDOWS\ServicePackFiles\i386\iexplore.exe
E:\Programme\WinAce 2.5\WinAce.exe
C:\DOKUME~1\DREA42~1.DOO\LOKALE~1\Temp\~AceTemp\hijackthis1982\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Ad-watch] F:\Programme\Adaware\Ad-aware 6\Ad-watch.exe
O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [FileBox Extender] C:\Programme\FileBX\FileBX.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D2F1EA5-ECF4-4B5A-AC99-9416CC2ED0EE}: NameServer = 205.188.146.146


So, jetzt bin ich mal gespannt...
Grüßle Fleur

Hallo Fleurxxx,

überprüfe mit dem online-scan von Kaspersky:

C:\Programme\FileBX\FileBX.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

=====@=====

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This (Häk'chen setzen und auf fix checked klicken):

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

=====@=====

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

=====@=====

Downloade das Programm SpywareBlaster 3.2 und führe es auf Deinem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für Deine(n) Browser. Wenn Du Fragen dazu hast, stell sie bitte.

=====@=====

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Vielen Dank für die Auskunft!
Sobald ich soweit bin meld ich mich wieder.


Ach halt , hab ich doch noch ne Frage bevor ich anfange.
Und zwar hab ich das Hijack Log automatisch auswerten lassen und bekam unter anderem diese Meldung:
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D2F1EA5-ECF4-4B5A-AC99-9416CC2ED0EE}: NameServer = 205.188.146.146
Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '205.188.146.146 ' nicht, fixen.

Heißt das etwa, daß jemand mit meinem PC verbunden ist???

Grüßle Fleur

Schau mal in den Link, da steht alles drin http://www.trojaner-board.de/42731-escan-anleitung.html

Danke!
Habs grad geschafft.

@ Fleurxxx,

was hast Du geschafft? Kannst Du bitte das Ergebnis des eScan reingeben, analog der Erklärung in meinem letzten Posting?

=>Total Number of Files Scanned:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:

und dann die Namen der Viren.

SD

Hallole!

Ich hatte Probleme eScan upzudaten, habs aber dann doch geschafft und hab den Beitrag wieder gelöscht.
Gleichzeitig bekam ich aber von MountainKing die Antwort, so daß ich ihm kurz noch Bescheid gab.

Hier sind meine Ergebnisse:

Sat Oct 23 15:51:19 2004 => Total Number of Files Scanned: 40959
Sat Oct 23 15:51:19 2004 => Total Number of Virus(es) Found: 5
Sat Oct 23 15:51:19 2004 => Total Number of Disinfected Files: 0
Sat Oct 23 15:51:19 2004 => Total Number of Files Renamed: 0
Sat Oct 23 15:51:19 2004 => Total Number of Deleted Files: 2



File C:\Dokumente und Einstellungen\Dr.Doolittle\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.zip-734920af-3873b125.zip infected by "Trojan.Java.Femad" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Dr.Doolittle\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Counters.zip-62dd9a93-4958d068.zip infected by "Trojan.Java.Femad" Virus. Action Taken: File Deleted.

D:\Download\Babylon\Babylon Pro 5.0 Translator Corporate + Crack (By RegMinisteR)\Babylon Pro 5.0 Corporate\babylon.pro.5.0.0.r78.crack-tsrh\crack.exe infected by not-a-virus:Tool.Win32.TPE.a

D:\Download\Babylon\Babylon Pro 5.0 Translator Corporate + Crack (By RegMinisteR)\Babylon Pro 5.0 Corporate\babylon.pro.5.0.0.r78.crack-tsrh.zip infected by not-a-virus:Tool.Win32.TPE.a

D:\Programme\AOL 9.0\Jiti\Jiti_mm.exe infected by not-a-virus:Tool.Win32.Reboot



Und hier noch das HijackThis Log:


Logfile of HijackThis v1.98.2
Scan saved at 16:47:55, on 23.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
F:\PROGRA~1\Norton\NORTON~4\GHOSTS~2.EXE
F:\Programme\Norton\Norton Antivirus\navapsvc.exe
C:\Programme\FileBX\FileBX.exe
F:\PROGRA~1\Norton\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Norton\Norton Antivirus\SAVScan.exe
F:\PROGRA~1\Norton\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Download\hijackthis_198\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe Reader 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - C:\Programme\FolderBox\FolderBox.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Programme\Norton\Norton Antivirus\NavShExt.dll
O4 - HKCU\..\Run: [NvMediaCenter] REM RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [FileBox Extender] C:\Programme\FileBX\FileBX.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll


Und was ist denn nun mit der Meldung, daß mein PC mit ner anderen IP verbunden ist?? s.o.

Grüßle Fleur

@ shadowdance:


achso, die FileBX.exe ist sauber.

@ Fleurxxx,

"achso, die FileBX.exe ist sauber." .. ==> Dein Logfile ist sauber.

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5D2F1EA5-ECF4-4B5A-AC99-9416CC2ED0EE}: NameServer = 205.188.146.146
Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '205.188.146.146 ' nicht, fixen.

Heißt das etwa, daß jemand mit meinem PC verbunden ist???

ja, Du ;-) Das heisst, dass es sich um die IP oder Domain Deines Providers handeln kann. Du solltest sie nicht löschen.

Gratuliere, Du hast prima mitgearbeitet @ Fleurxxx.

Ich geb Dir noch ein bisschen was zum lesen mit auf den Weg:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

Alles Gute weiterhin.
SD

Supi und vielen, vielen Dank!!!

Das hätt ich ohne die außerordentlich genaue und vor allem, leicht verständliche Anleitung von Shadowdance, niemals alleine hinbekommen.
Nochmal speziellen Dank an Dich, auch für die Links.

Grüßle Fleur

Hallole nochmal!

@shadowdance:
Ich habe mir die Links zu Gemüte geführt und hab dann gleich noch die verdeckten systemordner sichtbar gemacht.
Heut morgen hab ich dann aufm Desktop ne dsktop.ini entdeckt, die folgenden Text enthält:

[LocalizedFileNames]
Windows Media Player.lnk=@C:\WINDOWS\inf\unregmp2.exe,-4

Hab keine Ahnung was das soll!?

Vielleicht kannst Du mir noch mal helfen? lieb guck

Grüßle Fleur

Hallo Fleurxxx,

ich befürchte, es heisst nichts Gutes. Sei so nett und überprüfe diese Datei "C:\WINDOWS\inf\unregmp2.exe,-4" mit dem online-scan von Kaspersky. Teile uns das Ergebnis mit.

Lieben Gruss
SD

Danke, daß Du Dich meiner schon wieder annimmst.

Hier das Ergebnis des Onlinescans:

unregmp2.exe Ok

Statistiken:
Bekannte Viren: 102319 Updated: 26-10-2004
Größe der Datei (Kb): 192 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Scheint ja in Ordnung...


Ich hab mal nach der exe gegoogelt und bin auf folgendes gestoßen:

http://www.pestpatrol.com/pestinfo%5...regmp2_exe.asp

Aber die exe ist nicht bei den Prozessen zu finden und unter dem, in dem Link angegebenen, Registry - Pfad ist auch nichts.


Wenn ich nach den Eigenschaften der exe schau steht dort, daß es ein Microsoft Windows Media Player-Installationsdienst ist.

Vielleicht doch harmlos?!
Aber warum dann die versteckte ini auf'm Desktop?? Und was soll das -4 hinten dran?


Grüßle Fleur