|
Schwarzer Bildschirmhintergrund:/ Hi, hab mir glaube den Trojaner Trojan.intell32 und wahrscheinlich auch noch ein paar andere eingefangen :koch: Habe versucht sie mit Ad Awae, Spybot S&D und antivir zu killen und die sagen zumindest, dass alles ok ist, aber mein Hintergrund ist noch schwarz :pfui: Hab auch intmon und msole32 per Hand gelöscht, da die noch in WINNT/system32 waren, aber irgendwie hab ich das Gefühl, dass da noch was nicht stimmt... hhk.dll in WINNT/system32 is glaube auch noch böse, oder :snyper: Hier mal mein HJT logfile: Logfile of HijackThis v1.99.1 Scan saved at 10:21:21, on 05.09.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\msdtc.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\ahead\InCD\InCD.exe C:\WINNT\system32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Microsoft Office\Office\OSA.EXE C:\WINNT\twain_32\A4CIS600\WATCH.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\explorer.exe C:\PROGRA~1\WINZIP\wzqkpick.exe E:\Eigene Dateien\Hagen\Live\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: Watch.lnk = C:\WINNT\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe Kann mir bitte jemand sagen, ob da noch was am brodeln ist :headbang: DANKE! LG |
@kaprysonne Im Log sehe ich nichts Auffälliges. Bitte hier schauen und genau folgen: http://www.trojaner-board.de/42731-escan-anleitung.html |
@rene-gad Zitat:
http://startup.iamnotageek.com/srch-RegSvr32.html Zitat:
mit Backdoorqualität!? @kaprysonne Versuche mal, diese oben zitierte Datei bei Jotti http://virusscan.jotti.org/de/ scannen zu lassen und melde das Ergebnis Bis denn, stupormundi |
@stupormundi ACK! Habe vermasselt. Sorry. |
Danke hab mal die Datei gecheckt... The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Ich habe die Datei auch mal gesucht und leider nicht gefunden (auch nicht unter DOS...) Habt ihr nen Tipp? Warum muß man eigentlich manchmal den abgesicherten Modus benutzen, um die Spyware zu killen? LG |
Auch darauf geachtet, dass versteckte Dateien angezeigt werden? Wenn nein probier diesen link von rene-gad http://www.trojaner-board.de/59624-a...-sichtbar.html Zu Deinem Backdoor Problem: Das kannst Du sinnvollerweise ohnedies nicht mehr durch reparieren lösen, sondern nur noch durch Neu Aufsetzen. Dazu die Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=12154 Warum das die einzige Lösung im Zusammenhang mit Backdoor-Trojaner ist und warum nicht eine Entfernung genügt ist hier auch ausreichend berschrieben/verlinkt! Noch eine Info zu dem von Dir selbst genannten Trojaner http://research.sunbelt-software.com...threatid=41240 Zitat:
bis denn, stupormundi |
Hi, danke für die schnelle Antwort... Das hört sich ja garnet gut an. Hab das Problem auch mal bei www.thespykiller.co.uk gepostet und die meinten: First Please disable SpybotSD TeaTimer, as it may hinder the removal of the infection. You can enable it after you're clean. To disable SpybotSD TeaTimer: Open Spybot and click on Mode and check Advanced Mode Check yes to next window. Click on Tools in bottom left hand corner. Click on System Startup icon. Uncheck Teatimer box. Click Allow Change box. You can follow this link if you need help: http://russelltexas.com/malware/teatimer.htm _ _ _ _ Download smitRem.zip and save the file to your desktop. Right click on the file and extract it to it's own folder on the desktop. Place a shortcut to Panda ActiveScan on your desktop. Please download the trial version of Ewido Security Suite here: http://www.ewido.net/en/download/ Please read Ewido Setup Instructions Install it, and update the definitions to the newest files. Do NOT run a scan yet. If you have not already installed Ad-Aware SE 1.06, follow these download and setup instructions, otherwise, check for updates: Ad-Aware SE Setup Don't run it yet! Next, please reboot your computer in SafeMode by doing the following: * Restart your computer * After hearing your computer beep once during startup, but before the Windows icon appears, press F8. * Instead of Windows loading as normal, a menu should appear * Select the first option, to run Windows in Safe Mode. Now scan with HJT and place a checkmark next to each of the following items: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O4 - HKLM\..\Run: [RegSvr32] C:\WINNT\system32\msmsgs.exe O4 - HKCU\..\Run: [internat.exe] internat.exe Open the smitRem folder, then double click the RunThis.bat file to start the tool. Follow the prompts on screen. Wait for the tool to complete and disk cleanup to finish. Open Ad-aware and do a full scan. Remove all it finds. Now open Ewido Security Suite * Click on scanner * Make sure the following boxes are checked before scanning: o Binder o Crypter o Archives * Click on Start Scan * Let the program scan the machine While the scan is in progress you will be prompted to clean files, click OK Once the scan has completed, there will be a button located on the bottom of the screen named Save report * Click Save Report * Save the report to your desktop Close Ewido Next go to Control Panel click Display > Desktop > Customize Desktop > Website > Uncheck "Security Info" if present. Reboot back into Windows and click the Panda ActiveScan shortcut, then do a full system scan. Make sure the autoclean box is checked! Save the scan log and post it along with a new HijackThis Log and the Ewido Log by using Add Reply. Let us know if any problems persist. Also, Format C: oder könnte auch das reichen??? Lg |
ne, in der anleitung gehts um PSGuard. Format c: wie du bereits erwähnt hast. (sichere aber vorher deine "wichtigen" Daten wie Dokumente) |
Zitat:
also folge meiner Empfehlung Bis denn, stupormundi |
ok, danke... Dann muß ich wohl in den sauren Apfel beissen... Hast du nen Tipp, was es für schlaue Bücher, Artikel.. über Trojaner gibt. Würd gerne mal ein bissel mehr verstehen, wie das funktioniert und wie man sich besser schützen kann. Lg |
Schau mal den genannten link von Cidre genauer an. Da gibt es jede Menge links zu einschlägiger Info (Was Backdoors können) Oder auch der link aus Cronos´ Signatur http://www.dradio.de/dlf/sendungen/wib/253543/ Auch sehr interessant der link zum Vortrag von Volker Birk http://www.trojaner-board.de/showthread.php?t=13150 Ansonsten habe ich meine Info auch nur aus dem I-Net (stichwort googlen) und natürlich hier von board Viel Erfolg, stupormundi |
Hallo, hier was Sophos dazu sagt: http://www.sophos.de/virusinfo/analyses/trojzlobk.html IMHO ein Downloader, welcher hierzu gehört: http://www.trojaner-board.de/showthread.php?t=17863 dartus |
Hi, Danke erstmal an alle für Eure Hilfe. Hab jetzt mal das System neu aufgesetzt und mich die letzten Tage mit der Windows 2000 Installation rumgeschlagen. Habe alles, soweit es ging formatiert und neu partitioniert, aber irgendwie spinnt der Rechner immer noch rum. Habe gerade Spybot, Ad-Aware und Antivir drauf, kann das sein, dass die sich gegenseitig behindern und den Rechner das Leben schwer machen? Ach ja, habe auch vor dem Neuinstallieren nochmal den SmitRem getestet und danach hatte ich auch wieder nen blauen Hintergrund, hab aber trotzdem nochmal Neuaufgesetzt, weil mir das Alles ein bissel Spanisch vorkam... Kann bitte jemand nochmal auf mein HJT Logfile schauen, ob jetzt Alles ok ist... Logfile of HijackThis v1.99.1 Scan saved at 12:02:26, on 08.09.2005 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\spooler.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\csrss.exe C:\WINNT\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\System32\internat.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\mozilla.org\Mozilla\mozilla.exe D:\HJT\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tiscali.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali O1 - Hosts: 211.136.108.75 lloydstsb.co.uk O1 - Hosts: 211.136.108.75 online.lloydstsb.co.uk O1 - Hosts: 211.136.108.75 www.lloydstsb.co.uk O1 - Hosts: 211.136.108.75 www.lloydstsb.com O1 - Hosts: 211.136.108.75 personal.barclays.co.uk O1 - Hosts: 211.136.108.75 barclays.co.uk O1 - Hosts: 211.136.108.75 ibank.barclays.co.uk O1 - Hosts: 211.136.108.75 www.barclays.co.uk O1 - Hosts: 211.136.108.75 www.nwolb.com O1 - Hosts: 211.136.108.75 nwolb.com O1 - Hosts: 211.136.108.75 hsbc.co.uk O1 - Hosts: 211.136.108.75 www.hsbc.co.uk O1 - Hosts: 211.136.108.75 abbey.com O1 - Hosts: 211.136.108.75 www.abbey.com O1 - Hosts: 211.136.108.75 www.abbey.co.uk O1 - Hosts: 211.136.108.75 abbey.co.uk O1 - Hosts: 211.136.108.75 cahoot.com O1 - Hosts: 211.136.108.75 www.cahoot.com O1 - Hosts: 211.136.108.75 www.cahoot.co.uk O1 - Hosts: 211.136.108.75 cahoot.co.uk O1 - Hosts: 211.136.108.75 www.co-operativebank.co.uk O1 - Hosts: 211.136.108.75 co-operativebank.co.uk O1 - Hosts: 211.136.108.75 www.co-operativebank.com O1 - Hosts: 211.136.108.75 co-operativebank.com O1 - Hosts: 211.136.108.75 welcome2.co-operativebankonline.co.uk O1 - Hosts: 211.136.108.75 welcome6.co-operativebankonline.co.uk O1 - Hosts: 211.136.108.75 welcome8.co-operativebankonline.co.uk O1 - Hosts: 211.136.108.75 welcome10.co-operativebankonline.co.uk O1 - Hosts: 211.136.108.75 www.smile.co.uk O1 - Hosts: 211.136.108.75 smile.co.uk O1 - Hosts: 211.136.108.75 www.cajamar.es O1 - Hosts: 211.136.108.75 cajamar.es O1 - Hosts: 211.136.108.75 www.cajamar.com O1 - Hosts: 211.136.108.75 www.unicaja.es O1 - Hosts: 211.136.108.75 unicaja.es O1 - Hosts: 211.136.108.75 www.unicaja.com O1 - Hosts: 211.136.108.75 unicaja.com O1 - Hosts: 211.136.108.75 www.caixagalicia.es O1 - Hosts: 211.136.108.75 caixagalicia.es O1 - Hosts: 211.136.108.75 www.caixagalicia.com O1 - Hosts: 211.136.108.75 caixagalicia.com O1 - Hosts: 211.136.108.75 activa.caixagalicia.es O1 - Hosts: 211.136.108.75 www.caixapenedes.es O1 - Hosts: 211.136.108.75 caixapenedes.es O1 - Hosts: 211.136.108.75 www.caixapenedes.com O1 - Hosts: 211.136.108.75 caixapenedes.com O1 - Hosts: 211.136.108.75 bancae.caixapenedes.com O1 - Hosts: 211.136.108.75 www.caixasabadell.es O1 - Hosts: 211.136.108.75 caixasabadell.es O1 - Hosts: 211.136.108.75 www.caixasabadell.net O1 - Hosts: 211.136.108.75 caixasabadell.net O1 - Hosts: 211.136.108.75 www.cajamadrid.es O1 - Hosts: 211.136.108.75 cajamadrid.es O1 - Hosts: 211.136.108.75 www.cajamadrid.com O1 - Hosts: 211.136.108.75 cajamadrid.com O1 - Hosts: 211.136.108.75 oi.cajamadrid.es O1 - Hosts: 211.136.108.75 www.ccm.es O1 - Hosts: 211.136.108.75 ccm.es O1 - Hosts: 211.136.108.75 www.haspa.de O1 - Hosts: 211.136.108.75 haspa.de O1 - Hosts: 211.136.108.75 ssl2.haspa.de O1 - Hosts: 211.136.108.75 www.dresdner-bank.de O1 - Hosts: 211.136.108.75 dresdner-bank.de O1 - Hosts: 211.136.108.75 www.dresdner-privat.de O1 - Hosts: 211.136.108.75 postbank.de O1 - Hosts: 211.136.108.75 www.postbank.de O1 - Hosts: 211.136.108.75 banking.postbank.de O1 - Hosts: 211.136.108.75 www.sparda-b.de O1 - Hosts: 211.136.108.75 sparda-b.de O1 - Hosts: 211.136.108.75 www.bankingonline.de O1 - Hosts: 211.136.108.75 www.raiffeisenbank-erding.de O1 - Hosts: 211.136.108.75 raiffeisenbank-erding.de O1 - Hosts: 211.136.108.75 www.vr-networld-ebanking.de O1 - Hosts: 211.136.108.75 vr-networld-ebanking.de O1 - Hosts: 211.136.108.75 www.bnhof.de O1 - Hosts: 211.136.108.75 bnhof.de O1 - Hosts: 211.136.108.75 www.deutsche-bank.de O1 - Hosts: 211.136.108.75 deutsche-bank.de O1 - Hosts: 211.136.108.75 meine.deutsche-bank.de O1 - Hosts: 211.136.108.75 www.citibank.de O1 - Hosts: 211.136.108.75 citibank.de O1 - Hosts: 211.136.108.75 cipehb13.cdg.citibank.de O1 - Hosts: 211.136.108.75 www.dkb.de O1 - Hosts: 211.136.108.75 dkb.de O1 - Hosts: 211.136.108.75 www.sparkasse-regensburg.de O1 - Hosts: 211.136.108.75 sparkasse-regensburg.de O1 - Hosts: 211.136.108.75 www.berliner-bank.de O1 - Hosts: 211.136.108.75 berliner-bank.de O1 - Hosts: 211.136.108.75 www.berliner-sparkasse.de O1 - Hosts: 211.136.108.75 berliner-sparkasse.de O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Programme\Corel\Graphics8\Programs\MFIndexer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{581399D2-E691-4822-97E5-584BCE104E95}: NameServer = 62.27.27.62 195.247.247.195 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINNT\System32\spooler.exe O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINNT\csrss.exe Was bedeuten eigentlich diese O1 - ... Einträge (O1 - Hijack of auto.search.msn.com with Hosts file) ??? Hatte auch gerade ein Problem mit lsass.exe => Rechner hat sich heruntergefahren... Is doch alles Mist! LG |
@kaprysonne Zitat:
Zitat:
Für Win2000 gibt es schon seit 3 Jahren SP4 Internet Explorer existiert in der Version 6 SP1. Alles, was darunter ist, kann keinerlei die Sicherheit eines Windows-Systems gewährleisten. |
Hallo, kaprysonne! Naja, Zitat:
Zitat:
Zitat:
http://www.tasklist.org/task_SPOOLER_EXE_8217.html und http://castlecops.com/s8762-SPOOLER_EXE.html und ... Wieder ein Backdoor? Lass die Datei mal bei Jotti prüfen! stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:29 Uhr. |
Copyright ©2000-2024, Trojaner-Board