|
Sos hallo zusammen, nachfolgend seht ihr mein logfile, mit der bitte um kommentierung. ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter.. danke im vorraus sandra Logfile of HijackThis v1.98.2 Scan saved at 18:12:31, on 28.08.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: F:\WINNT\System32\smss.exe F:\WINNT\system32\winlogon.exe F:\WINNT\system32\services.exe F:\WINNT\system32\lsass.exe F:\WINNT\system32\svchost.exe F:\WINNT\system32\spoolsv.exe F:\Programme\Network Associates\VirusScan\Avsynmgr.exe F:\WINNT\System32\drivers\CDAC11BA.EXE F:\WINNT\System32\CTSvcCDA.exe F:\WINNT\System32\svchost.exe F:\WINNT\System32\mgabg.exe F:\WINNT\~GLC0001.TMP:sssim F:\WINNT\system32\regsvc.exe F:\WINNT\System32\SCardSvr.exe F:\WINNT\system32\MSTask.exe F:\WINNT\System32\WBEM\WinMgmt.exe F:\Programme\TightVNC\WinVNC.exe F:\WINNT\System32\mspmspsv.exe F:\WINNT\system32\svchost.exe F:\Programme\Network Associates\VirusScan\VsStat.exe F:\Programme\Network Associates\VirusScan\Vshwin32.exe F:\Programme\Network Associates\VirusScan\Avconsol.exe F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe F:\WINNT\Explorer.EXE F:\WINNT\System32\PDesk.exe F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE F:\WINNT\system32\netjd.exe F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\FinePixViewer\QuickDCF.exe F:\Programme\iFinger\iFinger.exe F:\Programme\AGFEO\ISDN Guard\agfguard.exe F:\WINNT\System32\taskmgr.exe F:\Programme\Opera\opera.exe F:\Dokumente und Einstellungen\volker\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Matrox Powerdesk] F:\WINNT\System32\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [CreativeMixer] F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun O4 - HKLM\..\Run: [WinVNC] "F:\Programme\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Exif Launcher.lnk = F:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: iFinger.lnk = F:\Programme\iFinger\iFinger.exe O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - F:\WINNT\System32\SHDOCVW.DLL hallo zusammen, nachfolgend seht ihr mein logfile, mit der bitte um kommentierung. ich habe folgende programme auf meinem rechner ausgführt: e-scan,spyboot, add-aware, cw-shredder und natürlich hijackthis. sobald ich die oberen threads (bis r3) lösche ist der IE bei erstenmal hochfahren ok, beim zweiten mal wird wieder die startseite geändert und es gibt popups. ich weiss jetzt wirklich nicht mehr weiter.. danke im vorraus sandra |
Hallo, diesen Prozess im TaskManager beenden: F:\WINNT\system32\netjd.exe Fixe diese Einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\tshol.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\tshol.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\tshol.dll/sp.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {F3C72A45-674D-5938-949B-9CC0A7147CE6} - F:\WINNT\system32\sdkpi32.dll O4 - HKLM\..\Run: [netjd.exe] F:\WINNT\system32\netjd.exe Wechsle in den abgesicherten Modus und lösche diese Dateien: F:\WINNT\system32\sdkpi32.dll F:\WINNT\tshol.dll F:\WINNT\system32\netjd.exe Wenn du das Problem dauerhaft lösen willst, dann wende dies an: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ Wichtig: IE 6 mit min. SP1, sowie weiteren sicherheitsrelevanten Pachtes installieren! |
Hallo Sandra Zitat:
Zitat:
Zitat:
Zitat:
|
hallo zusammen, @cidre , habe alles so gemacht. hat aber nicht funktioniert. alles wie gehabt. konnte aber die datei sdkpi32.dll nicht auf meinem rechner finden. hast du noch eine idee? @rene-gad ist denn für die besitigung des hijackers ein update SP4 etc. notwendig? grüsse |
Zitat:
|
Moin Rene-gad, Zitat:
Der 2. Eintrag könnte zu einer Digi-Cam von Fuji gehören -> http://www.sysinfo.org/startuplist.p...y=9&submit=%3E Vllt. nicht unbedingt erforderlich, aber als gefährlich würde ich den erst einmal nicht einstufen. Es sei denn, es gibt im 'Umfeld' des Rechners gar keine Digi-Cam von Fuji... ;) @sandra, ich würde an Deiner Stelle mal eScan (siehe Signatur) über sämtliche Partitionen Deines Rechners jagen. Es sieht aus der Ferne so aus, als wenn Du 2. Betriebssysteme auf Deinem Rechner hast... Das ist grundsätzlich nichts schlimmes, aber Du solltest -wie gesagt- mal den kompletten Rechner scannen. |
Moin Lutz Zitat:
Zitat:
|
Zitat:
Sonst schmeißen z.b. demnächst alle Office-Besitzer die outlook.exe vom Rechner, weil sie der Wurm Mimail.Q sei. Für mich sieht die Seite eher wie eine Werbeverkaufsveranstaltung zur dort angebotenen Software aus. Sätze wie Zitat:
Sorry, die Hälfte vergessen: Es sieht aus der Ferne so aus, als wenn Sandra eine Vollversion von Adobe Acrobat auf dem Rechner hat (Start-Aufruf des Destillers). Wen dem so ist, wäre ich äußerst vorsichtig mit der Deinstallation des Readers. Imho schmeißt man sich dann auch die Vollversion mit vom Rechner. Zumindest bei der 4er Version kenne ich dieses 'lustige' Spielchen. |
Hallo Zitat:
Zitat:
|
Zitat:
Damit die mit der Vollversion erstellte PDF-Datei im IE angezeigt werden kann. Die Sinnhaftigkeit lass ich mal dahingestellt, aber vielleicht kontrolliert der geneigte Acrobat-User gerne, wie sein PDF im IE dargestellt wird... Offtopic²: Das ist wie Gürtel und Hosenträger tragen, weil man seinem eigenen Ar*** nicht traut... http://www.trojaner-board.com/images/smilies/blabla.gif |
hallo lutz, habe noch einmal den e-scan über alles laufen lassen. nachfolgend die angeblich gelöschten files. an meinem IE hat sich aber nichts verändert. irgendwo läuft im hintergrund noch etwas mit, dass die anti spy programme übersehen. keines dieser programme hilft wirklich. grüsse sandra File F:\WINNT\system32\javabb32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted. File F:\WINNT\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\WINNT\System32\javabb32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\Dokumente und Einstellungen\volker\Desktop\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. File F:\Dokumente und Einstellungen\volker\Lokale Einstellungen\Temp\CFQ.mwt infected by "not-a-virus:AdvWare.AdBreak" Virus. Action Taken: File Renamed. File F:\Dokumente und Einstellungen\volker\Lokale Einstellungen\Temp\_ISTMP4.DIR\_ISTMP0.DIR\MSVBVM50.728 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Programme\TightVNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.b. No Action Taken. File F:\WINNT\apixs32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\apppy.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\iphx32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\javaxj.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\mfckb32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\WINNT\system32\netwu.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\system32\winqt32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. File F:\WINNT\system32\winwn32.dll infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted. File F:\WINNT\system32\winwn32.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted. |
Poste nochmal ein neues Log-File. |
hallo, hier das neue"alte" logfile vom hijack. sandra Logfile of HijackThis v1.98.2 Scan saved at 10:20:37, on 29.08.2004 Platform: Windows 2000 SP3 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000) Running processes: F:\WINNT\System32\smss.exe F:\WINNT\system32\winlogon.exe F:\WINNT\system32\services.exe F:\WINNT\system32\lsass.exe F:\WINNT\System32\SCardSvr.exe F:\WINNT\system32\svchost.exe F:\WINNT\system32\spoolsv.exe F:\Programme\Network Associates\VirusScan\Avsynmgr.exe F:\WINNT\System32\drivers\CDAC11BA.EXE F:\WINNT\System32\CTSvcCDA.exe F:\WINNT\System32\svchost.exe F:\WINNT\System32\mgabg.exe F:\WINNT\~GLC0001.TMP:sssim F:\WINNT\system32\regsvc.exe F:\WINNT\system32\MSTask.exe F:\WINNT\System32\WBEM\WinMgmt.exe F:\Programme\TightVNC\WinVNC.exe F:\WINNT\System32\mspmspsv.exe F:\WINNT\system32\svchost.exe F:\Programme\Network Associates\VirusScan\VsStat.exe F:\Programme\Network Associates\VirusScan\Vshwin32.exe F:\Programme\Network Associates\VirusScan\Avconsol.exe F:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe F:\WINNT\Explorer.EXE F:\WINNT\System32\PDesk.exe F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe F:\Programme\FinePixViewer\QuickDCF.exe F:\WINNT\System32\taskmgr.exe F:\Programme\iFinger\iFinger.exe F:\Programme\AGFEO\ISDN Guard\agfguard.exe F:\Programme\Opera\opera.exe F:\WINNT\sysyo32.exe F:\Dokumente und Einstellungen\volker\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\system32\xlapd.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://F:\WINNT\system32\xlapd.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://F:\WINNT\system32\xlapd.dll/index.html#96676 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://F:\WINNT\system32\xlapd.dll/sp.html#96676 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A5095936-76F3-CF24-9DCB-7DA512FB1C59} - F:\WINNT\system32\ipdg32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Matrox Powerdesk] F:\WINNT\System32\PDesk.exe /Autolaunch O4 - HKLM\..\Run: [CreativeMixer] F:\Programme\Creative\Audio2K\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [NeroCheck] F:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinVNC] "F:\Programme\TightVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [sysyo32.exe] F:\WINNT\sysyo32.exe O4 - Global Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Exif Launcher.lnk = F:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: iFinger.lnk = F:\Programme\iFinger\iFinger.exe O4 - Global Startup: ISDN Guard.lnk = F:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: iFinger - {936E5D60-596C-11D3-BB96-00600816DF55} - F:\WINNT\System32\SHDOCVW.DLL |
Um es mal zu verdeutlichen: Dein Haupt-Problem ist der IE. Installiere IE 6 mit min. SP1 und alle weiteren Sicherheitspatches. Dies solltest du machen, auch wenn du nur ausschließlich mit Opera surfst! Ein Trojan Downloader ist sehr gefährlich, weil er ständig versucht weitere Malware nachzuladen. Daher wäre meine Empfehlung: Setzte dein System neu auf, da es für dich nicht mehr vertrauenswürdig ist. http://faq.underflow.de/#SECTION000120000000000000000 http://oschad.de/wiki/index.php/Kompromittierung Nach dem Neuaufsetzen und VOR der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org - dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ - Deine Passwörter ändern - Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 - Surfverhalten überdenken |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:01 Uhr. |
Copyright ©2000-2025, Trojaner-Board