Hijack This, Weiterleitung auf andere Homepages
 

Hallo,
seit einpaar Tagen werde ich beim surfen öfter mal auf andere Seiten weitergeleitet durch den Back-Button des Browsers komme ich wieder zurück (in der Regel google und Browser Explorer) auf die ursprüngliche Seite und kann beim erneuten Klick auf die gewünschte Seite springen.
Außerdem hat gestern Antivir einen Virus gefunden, den ich gelöscht habe. Seit dem findet das Programm nichts mehr.
Bin jetzt aber sehr skeptisch und es wäre schön, wenn Ihr auch mir weiterhelfen könntet und den Hijack Log überprüfen würdet. Der wurde im Abgesichertem Modus erstellt.
Vielen Dank im voraus!!!


------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 19:41:06, on 13.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Administrator\My Documents\****\Programme\antivir\hijack\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w3.ibm.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3D65677E-AC70-47E1-BF2D-5BAA77C6F852} - C:\WINDOWS\system32\jgmd400d.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ISAM SMT Service] "C:\Program Files\C4ebreg\isamsmt.exe"
O4 - HKLM\..\Run: [Tpam.exe] "C:\Program Files\IBM\Personal Communications\tpam.exe"
O4 - HKLM\..\Run: [ISAMTray] "C:\Program Files\C4ebreg\isamtray.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\CheckPoint\Integrity Client\iclient.exe"
O4 - HKLM\..\Run: [stgclean] c:\sdwork\w32main2.exe /cleanup
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [BMMMONWND] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatInfEx.dll,BMMAutonomicMonitor
O4 - HKLM\..\Run: [BLOG] rundll32.exe C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [ACTray] C:\Program Files\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Program Files\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [MyHelpService] C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpStart.exe
O4 - HKLM\..\Run: [PSQLLauncher] "C:\Program Files\Thinkvantage Fingerprint Software\launcher.exe" /startup
O4 - HKLM\..\Run: [ISSI EZUpdate Service] "c:\sdwork\issimsvc.exe"
O4 - HKLM\..\Run: [ipmcmu] c:\Program Files\IBM\IPM Client Migration Utility\ipmcmu.exe "c:\Program Files\IBM\IPM Client Migration Utility"
O4 - HKLM\..\Run: [C4EBReg] "C:\Program Files\C4ebreg\c4ebreg.exe" /q
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\IBM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\IBM\Bluetooth Software\btsendto_ie.htm
O14 - IERESET.INF: START_PAGE_URL=http://w3.ibm.com
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ibm.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ibm.com
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Program Files\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Program Files\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AppnNode - IBM Corporation - C:\WINDOWS\system32\Drivers\appnnode.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\IBM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: ISAM SMT Service (ISAMsmt) - Unknown owner - C:\Program Files\C4ebreg\isamsmt.exe (file missing)
O23 - Service: IBM Standard Asset Manager Service (ISAMSvc) - IBM Global Services - C:\Program Files\C4ebreg\c4ebreg.exe
O23 - Service: ISSI EZUpdate (ISSIMon) - IBM Global Services - c:\sdwork\issimsvc.exe
O23 - Service: IBM Enterprise Extender (ldlcserv) - IBM Corporation - C:\WINDOWS\system32\Drivers\ldlcserv.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\notes\ntmulti.exe
O23 - Service: My Help (MyHelp) - Unknown owner - C:\Program Files\IBM\My Help\plugins\com.ibm.myhelp.installer\service\MyHelpService.exe
O23 - Service: Network Configuration Service (NetCfgSvr) - AT&T - C:\PROGRA~1\AT&TNE~1\NetCfgSv.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: IBM Trace Facility (TrcBoot) - IBM Corporation - C:\WINDOWS\system32\Drivers\trcboot.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9063 bytes
-

Morgen und :) Herzlich Willkommen im Trojaner-Board :)

Ich tippe mal auf Adware in deinem System, aber schauen wir
uns das mal näher an:

Benutze bitte die neueste Version von Hijackthis und scanne
im normalen Modus.

* HijackThis - Scan
1. Lade dir das Tool hier runter -> Hijackthis 2.02 Final
2. Entpacke es in einen seperaten Ordner und benenne es um
(z.b. C:\Programme\HijackThis\pruefung.com)
3. Führe die Datei aus und bestätige die Warnung mit "ok"
4. Wähle die Option "Do a System Scan and save a logfile"
5. poste den kompletten Inhalt des entstehenden LogFiles
6. Entferne persönliche Informationen sowie aktive Links

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
(Sollte der Hinweis erscheinen, dass du nur mit der Vollversion
die Funde löschen kannst, breche den Scan NICHT ab)
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
- rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
- führe die find.bat aus
- das erstellte Log kopierst du ab und postest in deinen nächsten Beitrag
3. Entferne bitte nicht selber von escan alarmierte Funde.
Es sind erfahrungsgemäß viele Fehlalarme dabei

mfg Cleriker

Hallo,

danke erstmal,
habe zwischenzeitlich auch Acrobat reader und Java runtergeschmiss, da veraltet.


der virustotal scan Datei jgmd400d.dll
[code]
Datei jgmd400d.dll empfangen 2007.11.14 00:38:57 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.14.0 2007.11.13 Win-AppCare/Stud.9728
AntiVir 7.6.0.34 2007.11.13 ADSPY/Stud.D
Authentium 4.93.8 2007.11.13 -
Avast 4.7.1074.0 2007.11.13 Win32:Trojano-3384
AVG 7.5.0.503 2007.11.13 Adware Generic.WNV
BitDefender 7.2 2007.11.13 Adware.Stud.I
CAT-QuickHeal 9.00 2007.11.13 AdWare.Stud.d (Not a Virus)
ClamAV 0.91.2 2007.11.13 Adware.BHO-15
DrWeb 4.44.0.09170 2007.11.13 -
eSafe 7.0.15.0 2007.11.13 -
eTrust-Vet 31.2.5293 2007.11.13 -
Ewido 4.0 2007.11.13 Adware.Stud
FileAdvisor 1 2007.11.14 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.13 W32/Adware.IJT
F-Secure 6.70.13030.0 2007.11.13 -
Ikarus T3.1.1.12 2007.11.13 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.11.13 not-a-virus:AdWare.Win32.Stud.d
McAfee 5162 2007.11.13 -
Microsoft 1.3007 2007.11.12 Trojan:Win32/Webprefix
NOD32v2 2656 2007.11.13 Win32/Adware.BHO.AA
Norman 5.80.02 2007.11.13 W32/Stud.Y
Panda 9.0.0.4 2007.11.14 -
Prevx1 V2 2007.11.14 -
Rising 20.18.11.00 2007.11.13 Adware.Win32.Stud.d
Sophos 4.23.0 2007.11.13 MapKon
Sunbelt 2.2.907.0 2007.11.13 -
Symantec 10 2007.11.13 Adware.Webprefix
TheHacker 6.2.9.126 2007.11.13 Adware/Stud.d
VBA32 3.12.2.4 2007.11.11 AdWare.Win32.Stud.d
VirusBuster 4.3.26:9 2007.11.13 Adware.BHO.EC
Webwasher-Gateway 6.0.1 2007.11.13 Ad-Spyware.Stud.D
weitere Informationen
File size: 29174 bytes
MD5: 81c3a5242f5311b87f1c0f22d16b185b
SHA1: c5fcd83e1ee2096b69cf4babb8980ade05701d2a
packers: UPX
packers: UPX
packers: UPX
packers: UPX
[code]

E-scan folgt.
danke schon mal

anbei der E-Scan; außerdem hat virustotal ergeben, dass die Datei jgmd400d.dll infiziert ist, bzw. sich um adware handelt.
Wie kann ich das löschen? einfach auf entfernen klicken oder doch ein Tool verwenden. mache ich durch das Löschen der Datei etwas kaputt???

E-scan hat außerdem folgende Dateien als infiziert gemeldet, die habe ich mal bei virustotal durchlaufen lassen. anbei das Ergebnis.
Wie kann ich mich davon befreien? am besten natürlich ohne den Rechner neu aufzusetzen???

Hallo,

schöne Auswertung :)
Die scheinen alle irgendwie unter einer Decke zu stecken,
wie mir scheint. Entferne wie folgt:
* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:
3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Die andere müssten eigentlich zu Smitfraud gehören oder
als Überreste gelten. Sagt dir das was

mfg Cleriker

Hi,
danke für das anschauen des Logs und die Unterstützung!!!
Habe nach der Virusmeldung über Software entfernen von MS winrar vom System gelöscht. da ich es eh sehr selten gebraucht habe.
Daher kann ich jetzt die Zeile ja nicht mehr eingeben.
Soll ich einen neuen e-scan durchführen? auch einen neuen Hijackthis? was noch???
Mittlerweile habe ich combofix, counterspy auch schon auf dem Rechner.
Danke nochmal für die Hilfe!

Ein paar Scans zum Überprüfen wären nicht schlecht:

1. Hijackthis

2. Escan

3. * Silentrunners Logfile
1. Lade dir das Tool -> Silentrunners
2. Entpacke das Script in einen Ordner deiner Wahl
3. Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
4. System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
5. Dann öffne die Silent Runners xxx.txt mit einem Editor
und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(die Datei wird im selben Ordner wie das Tool gespeichert)
Falls das Script eine Fehlermeldung ausgibt:
- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

Hast du noch Probleme?

mfg Cleriker

hi,
anbei die neuen Scans.

Und virustotal hatte ja doch einiges gefunden.
Soll ich die von Virustotal gefährlich eingestuften Dateien einfach Löschen?

hi,
was ich noch vergessen hatte. Smitfraud sagt mir garnichts.

Boa wieso ist das immer noch alles infiziert,
du hast ja gar nichts entfernt. Dein Combolog
sieht auch nicht unbedingt nach einem
Festmal aus.

Ich bin mir zwar nicht sicher, aber ich schick dich
erst mal zu folgender Anleitung
* Anleitung zur Entfernung von Zlob alias Puper, Fakealert, Smitfraud

Nach der Auswertung sehen wir morgen weiter.

mfg Cleriker

@ regen: FirmenRechner?

BataAlexander: ja, war mal Firmenrechner.

Hatte Avenger nach den Logfiles gestartet.
Lasse die Files gleich nochmal starten.
Habe folgende mit Avenger gelöscht
C:\WINDOWS\system32\jgmd400d.dll
C:\WINDOWS\tasks\at1.job
C:\WINDOWS\system32\objsafe.tlb

winrar war bereits weg

logfile

Hi,
habe jetzt alle Programme die ich mir zwischenzeitlich runtergeladen habe mal laufen lassen.
Kann sie leider nicht interpretieren. ist das System jetzt sauber??? oder sollte ich noch was tun? Ich habe nur Smitfraud noch nicht laufen lassen. das mache ich auch noch gleich. Ist ziemlich viel, aber wäre dankbar wenn es sich jemand anschauen würde. Filelist und gmer versuche ich noch irgendwie zu posten, die sind leider sehr groß geworden.
Dankeschön nochmal!!!

Ich tippe inzwischen nicht nur auf Smidfraud,
sondern auf nach-geladene Keylogger und
Adware. Wenn die Vermutung hinhaut, führt
bei dir kein Weg am NeuAufsetzen vorbei.

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. Speicher dir die unten angebenen Dateien auf einen externen Datenträger,
falls du keine Internetverbindung hast.
7. lade die Seite von Virustotal (alternativ Jotti)
8. lade in der dafür vorgesehen Box folgende Datei(en) hoch
9. Warte die Auswertung ab
10. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

mfg Cleriker

Habe die Ordner Einstellungen nochmal überprüft, meiner Meinung nach,
habe die die Anleitung zum Onlinescan ausgeführt.
Allerdings sind die angegebenen Dateien nur als Ordner existent und Leer.
anbei ein Screenshot meiner Ordnereinstellungen.

Ach stimmt ja Combofix entfernt die ja gleich...
Da ich jetzt überhaupt nicht mehr wissen kann,
was auf deinem Rechner los war / ist, hast du 2
Möglichkeiten.

a) Entweder wir scannen mit verschiedenen Tools
nochmal alles durch und suchen nach Überbleibsel
-> Das Restrisiko aufrgrund meiner Keyloggervermutungen
vorhin bleibt aber vorhanden.

b) Du setzt deinen Rechner nach der Anleitung neu auf,
welches natürlich die sichere Variante ist und auch nicht
mehr Zeit in Anspruch nimmt.
* System neu aufsetzen mit anschließender Absicherung


Die Entscheidung liegt bei dir.

da ich viele der Software nicht mehr habe und nicht den Rechner wieder neu installieren könnte, würde ich erstmal die "unsichere" Variante mit verschiedenen scan Software versuchen.

Welche soll ich den nehmen?
einiges habe ich ja schon auf dem Rechner.
Und soll ich die Leeren Ordner löschen?

Zitat:
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll

@cleriker: danke für die Geduld und die Zeit die du dir genommen hast!!!! DANKE!!!!

Ich denke da sind nur Ordner. Wenn du dich verschrieben hast,
ja, lösche die Ordner.

Also dann....
Nachdem du du die Ordner gelöscht hast, veränderst du bitte
keine Dateien mehr sondern führst die folgenden Scans durch:
(Poste diese bitte direkt rein ohne Anhang und Zitat. Ich bekomm'
sonst Augenprobleme. Wenn ein Script zuu groß ist, teile es auf)

1. Hijackthis

2. Escan

3. Silentrunner

4. * Filelist
1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die
letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem
nächsten Beitrag ein.


Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

5. * tcpview
1. Lade dir das Tool -> tcpview
2. Entpacke es auf dem Desktop und starte die Datei tcpview.exe im Ordner
3. Oben links auf das Diskettensymbol klicken und das Logfile abspeichern.
4. Den Inhalt der Logdatei posten.

Ich hoffe, wir kommen anschließend weiter.

also habe die Anleitung Schritt für Schritt abgearbeitet.
1. die 4 Ordner gelöscht, Papierkorb geleert
2. Hijackthis ausgeführt, Log anbei
3. Escan ausgeführt, Log anbei
4. Silentrunner ausgeführt, Log anbei
5. * Filelist ausgeführt, Log anbei
6. tcpview ausgeführt, Log anbei
Ich hoffe das jetzt nichts gefährliches mehr drauf ist. Danke nochmal

weiter gehts mir dem Log für silentrunner

anbei Filelist

und der tcpview log.

Abend,
ich bin jetzt an einem fremden Rechner und habe
leider nicht konkrete Anleitungen per Hand. Versuchen
wir es so . . .

Den Eintrag mit hijackthis fixen:
Diese Dateien mit dem Avenger deleten:
-> Anschließend das log wieder posten

- Systemwiderherstellung deaktivieren
- in den abgesicherten Modus wechseln
- mit deinem Antivir-Tool lokale Festplatte überprüfen
wenn nichts gefunden wird, lösche manuell:

Zum Schluss den Ordner löschen und Papierkorb leeren
Laut tcpview hattest du eine Verbindung zu . . .
Sagt dir das was?

mfg Cleriker

die angaben sagen mir garnicht!!! alles andere mache ich mal gleich. danke!

Hi,
also folgendes habe ich jetzt gemacht.
1. einen Online scan von ewido durchgeführt --> dabei wurde Datei "A0031057.dll" erkannt und diesen gelöscht.
2. den Eintrag mit hijackthis gefixt:
O2 - BHO: (no name) - {3D65677E-AC70-47E1-BF2D-5BAA77C6F852} - C:\WINDOWS\system32\jgmd400d.dll (file missing)

3. Diese Dateien mit dem Avenger gelöscht:
Zitat:
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\swsc.exe
C:\WINDOWS\system32\swxcacls.exe
C:\WINDOWS\system32\swsc.exe

das hatte ich manuell bereits gelöscht C:\Documents and Settings\Administrator\My Documents\desktop.ini

4. Log von Avenger
5. Ordner C:\avenger gelöscht
6. papierkorb geleert.

7. Wie erkennst du dass tcpview eine Verbindung zu . . .anzeigt??? wie werde ich die den jetzt wieder los?
Zitat:
Address: 1600 Amphitheatre Parkway

8. Online scan von Symantec sagt, dass Port 135 offen ist. wie könnte ich die den Schließen hast du einen Tipp (nutze Zone Alarm als Firewall)

zu 7:
Ich wollte ebend nochmal deine Verbindungen durch gehen,
habe aber die Verbindung nicht mehr gefunden. Ich muss mich
irgendwie verkopiert haben, beim letzten Suchlauf.

zu 8:
Zone-Alarm hatte ich noch nie, kann ich dir demzufolge keine
Tipps geben. Solltest du also mal Google bemühen. Aber eigentlich
müssten die Ports alle geschlossen sein. Auf der Serviceseite deines
Routers kannst du diese direkt unter den Interneteinstellungen
aktivieren / deaktivieren.

mfg Cleriker

Halbe Informationen sind falsche Informationen
Du warst wohl grad bei google zu besuch
Und selbst wenn es nicht so wäre, reine http Verbindung in den Logs sind m.E. kein Problem.
Zum Thema google und Port 135 schicke ich den regen mal in protecus Board zum lesen.

Hallo Cleriker,
estmal vielen vielen Dank für deine Unterstützung, Nachdem ich jetzt einige Seiten im Forum durchgearbeitet habe und viel Zeit hier verbracht habe und zig Programme jetzt auf meinem Rechner habe, denke ich dass mein Rechner jetzt besser geschützt ist.
Vielen Dank für deine Unterstützung.
@Bata, danke für den Tipp, habe den Port mal geschlossen und bei google bin ich auch oft;-) wenn wunderst.
danke nochmal dass es so ein Forum gibt und dass Ihr diesen am Leben haltet.
Gruss