|
kill evidence etc hi leutz, ich hab da ein prob: kennt das jemand hier zufällig.... auf dem desktop hab ich neuerdings 7 neue verknüpfungen : contact lenses, delete evidence, free mp3s, free platinum card, hot matchup, kill all spyware, kill xp popups, popup killer :mad: löschen ist sinnlos... in der reg erscheind immer wieder der schlüssel aaa_soft unter hkey current user/software... das teil treibt mich noch in den wahnsinn... dazu kommt noch das beim öffnen des ie ,manchmal sich gleich eine seite zusätzlich öffnet (siehe oben verknüpf.) oder wenn ein popup erscheint wird es von diesem dingens auf meinem rechner übernommen... das beste ist das eben dieses kill evidence ein prog ist zum entfernen solcher sachen... die schweine haben diesen echt fiesen virus oder wat dat ist wohl selber programmiert um ihr scheiss proggi zu verkaufen... kleine anmerkung... hab schon einige virenscanner und spytools drüber laufen lassen ohne erfolg... und hier noch die log: Logfile of HijackThis v1.98.2 Scan saved at 19:34:30, on 02.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINNT\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\slserv.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WFXSVC.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\WINNT\system32\vfdvqny.exe C:\WINNT\system32\wfxsnt40.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE D:\PROGRA~1\zonelabs\zlclient.exe C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe C:\Programme\SpywareGuard\sgmain.exe C:\Programme\SpywareGuard\sgbhp.exe C:\WINNT\explorer.exe C:\Dokumente und Einstellungen\Chaos Records\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [zqwwontsxqn] C:\WINNT\system32\vfdvqny.exe O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\zonelabs\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Chaos Records.CHAOS2\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{74964A18-0B3B-4A7F-A7E0-FDB736C86A5F}: NameServer = 217.237.151.97 194.25.2.129 O17 - HKLM\System\CCS\Services\Tcpip\..\{C5C3DA9C-8F96-4E2E-961F-76EDDDBDD40A}: NameServer = 194.25.2.129 was ist den das eigentlich C:\WINNT\system32\lsass.exe hab ich noch nie gelesen besten dank taos |
die war von heut morgen im abgesicherten modus: Logfile of HijackThis v1.98.2 Scan saved at 11:26:28, on 03.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\Programme\XPcleanv5\Regwarner.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Dokumente und Einstellungen\Chaos Records\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local> O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe O4 - Startup: Verknüpfung mit Regwarner.exe.lnk = C:\Programme\XPcleanv5\Regwarner.exe O4 - Global Startup: CAPIControl.lnk = C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: HomeNet Control.lnk = C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\Chaos Records.CHAOS2\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa6...dxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab |
Hallo Zitat:
Ich empfehle: 1. Vom Netz sofort weg gehen 2. Das System neu aufsetzen 3. Alle Passwörter wechseln |
Du hast Backdoorprogramme auf deinem Rechner laufen, die Unbefugten alle möglichen Manipulationen erlauben/erlaubt haben, dein System ist korrumpiert. U.a. dadurch: http://www.sophos.de/virusinfo/analyses/w32sluterb.html Beste und sicherste Lösung: 1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html) 2.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 3.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen 4.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS) 5.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html) 6) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen 7) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.) 8) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen Willst du trotzdem reparieren (schlechtere Lösung), schau zunächst nach, ob dein Board einen SIS-Chipsatz hat, falls nicht, beende diese Prozesse: slserv.exe vfdvqny.exe msnappau.exe Besorge dir E-Scan, update es wie hier beschrieben: http://www.trojaner-board.de/42731-escan-anleitung.html Fixe dann mit HJT: C:\WINNT\system32\slserv.exe C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\WINNT\system32\vfdvqny.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/googlesidesearch.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.begin2search.com/googlesidesearch.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/googlesidesearch.html O2 - BHO: (no name) - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - (no file) O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINNT\system32\winb2s32.dll O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.0002.1001\en-xu\stmain.dll O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINNT\system32\winb2s32.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [zqwwontsxqn] C:\WINNT\system32\vfdvqny.exe O4 - HKLM\..\Run: [Microsoft Network Daemon for Win32] netd32.exe O4 - HKLM\..\RunServices: [Microsoft Network Daemon for Win32] netd32.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/1774caa...RdxIE601_de.cab O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.141/code/PWActiveXImgCtl.CAB Boote in den abgesicherten Modus und lass E-Scan wie oben beschrieben durchlaufen. Besser ist, wie gesagt, Abarbeiten der Punkte. Lektüre: http://www.mathematik.uni-marburg.de...ompromise.html http://faq.underflow.de/ |
danke für die schnelle antwort! und wat mach ich mit dem anderem teil? denn neuinsta wollt ich jetzt eigentlich net grad machen :sleepy: |
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:28 Uhr. |
Copyright ©2000-2025, Trojaner-Board