Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   Mystic OS (https://www.trojaner-board.de/31673-mystic-os.html)

MCQ 25.08.2006 14:33
Mystic OS
 
Seit einiger zeit passieren auf meinem PC immer öfter merkwürdige Dinge. Hier nur ein paar:

- Es laufen dauernd 2 Prozesse namens IEXPLORE.EXE im Hintergrund, obwohl ich den IE gar nicht laufen hab.

- Eine Titlehold.exe läuft immer im hintergrund, wenn ich den Prozess kille startet er neu. Zeitweise nimmt dieser Prozess so viel Rechenzeit in anspruch das ich zuschauen kann wie sich die Zeichen die ich Tippe aufbauen.

- Wenn ich den IE nutze öffnen sich dauernd Popups, selbst auf seiten die 100%ig keine Popups generieren (das weiss ich weil ich sie selbst erstellt hab)

- Ab und an melden sich IE-Scriptfehler auch wenn der IE nicht läuft (abgesehen von den beiden Hintergrundprozessesen)


Ich hoffe Ihr könnt mir helfen. Anbei noch meine HijackThis Log-File


Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 15:32:11, on 25.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\Micha\ANWEND~1\MEOWJU~1\audio defy ace.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\xampp\apache\bin\apache.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\xampp\apache\bin\apache.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Mozilla Thunderbird\thunderbird.exe
I:\client.exe
C:\DOKUME~1\ALLUSE~1\ANWEND~1\HEARTM~1\TITLEH~1.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Micha\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonAmazonInterface.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonEbayInterface.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Long Sect] C:\DOKUME~1\Micha\ANWEND~1\MEOWJU~1\audio defy ace.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_7
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Programme\Preispiraten3\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Programme\Preispiraten3\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Programme\Preispiraten3\Preispiraten3\SearchGoogle.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C10A87F-4E55-429F-95E7-5ED3B3DBFA3B}: NameServer = 192.168.2.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{9AE745EC-B711-4F07-95AA-7DBF998974CA}: NameServer = 192.168.2.254
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

MCQ 13.09.2006 06:24
hat den keiner eine idee? :heulen:

nochdigger 13.09.2006 07:57
mOIn MCQ,

versuche mal das hier
relevante Einträge sind :
O4 - HKCU\..\Run: [Long Sect] C:\DOKUME~1\Micha\ANWEND~1\MEOWJU~1\audio defy ace.exe
und
C:\DOKUME~1\ALLUSE~1\ANWEND~1\HEARTM~1\TITLEH~1.EXE
(eine *.job Datei muß es nicht unbedingt geben).

Wenn alles abgearbeitet AntiVir updaten --> fullscan
dann neues HijackThis Log und berichten ob es noch Probleme gibt

MFG

Wildone 13.09.2006 09:04
Hallo,
Zitat:
(eine *.job Datei muß es nicht unbedingt geben).
Nur als Anmerkung, da ist sie immer, sie wird nur meistens nicht in der API angezeigt, einen Grund hierfür habe ich noch nicht gefunden.
Wenn man sich es duch diese batch anschaut:

Code:
dir %Windir%\tasks /a h > files.txt
notepad files.txt
ist sie eigentlich immer vorhanden, aber ohne Dateien, die sie starten kann ist sie harmlos.
Hat eigentlich nur deswegen einen Platz in der Anleitung bekommen weil eine Zeit lang Antivir darauf angeschlagen hat.


Grüße Wildone

nochdigger 13.09.2006 09:31
mOIn auch

Zitat:
Zitat von Wildone
ist sie eigentlich immer vorhanden, aber ohne Dateien, die sie starten kann ist sie harmlos.
Hat eigentlich nur deswegen einen Platz in der Anleitung bekommen weil eine Zeit lang Antivir darauf angeschlagen hat.
danke für den Hinweiß:daumenhoc , hab ich noch nicht gewußt.

@ Wildone - Kleine Frage, meinst du man könne die job Datei mit Silentrunners o.ä. tools zu sehen bekommen, wenn sie nicht "normal" sichtbar ist ?

MFG

Wildone 13.09.2006 09:36
Hallo,
hmm, habe ich mich auch schon gefragt, ich glaube aber nicht, obwohl Silentrunner job Dateien ja nornmalerweise anzeigt.
Wir können es mal versuchen:
@MCQ
Poste mal ein Log von Silentrunners.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19