|
Ich glaube ich habe ein Trojaner Hallo nochmal :) Und zwar habe ich folgendes Problem: Wenn ich mein Internet öffne und surfen möchte iast das ersteinmal kein Problem und ich kann dies auch für ca. eine halbe Stunde tun. Dann stockt plötzlich alles und nach einigen sekunden kann keine seite mehr eingegeben werden, bzw. mein Opera und Mozilla zeigen keine Seite mehr an. Wenn ich dann meinen PC neu starte und nocheinmal ins internet gehe funktioniert es wieder. Man muss vielleicht dazu sagen dass nur das Surfen auf Seiten nicht geht, Messenger wie MSN oder ICQ kann ich durchaus ohne probleme benutzen, nur seiten kann ich nicht öffnen. Ich habe Windows XP, mit allen Patches. Ich würde mich um jede kleinigkeit freuen :) DANKE |
Hi, erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. |
Okay :) Hier mein LOGFILE: ICH HOFFE DU KANNST MIR WEITERHELFEN Logfile of HijackThis v1.98.0 Scan saved at 02:11:12, on 11.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Opera75\opera.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,SKEYS /I O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\RunServices: [msn] msnmsg.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094135730099 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 194.25.2.129 O18 - Filter: text/html - {CA45C872-74DC-461C-8468-7356A89A7E39} - C:\Dokumente und Einstellungen\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat |
Zitat:
und weitere die nicht angezeigt werden. Daher lässt diese Kompromittierung nur ein Neuaufsetzen deines System als sicherste Lösung zu, da es nicht mehr vertrauenswürdig ist. http://faq.underflow.de/#SECTION000120000000000000000 http://oschad.de/wiki/index.php/Kompromittierung Was Backdoor Trojaner können: http://www.trojaner-info.de/beschreibung.shtml http://de.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Trojaner_%28Computer%29 Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten: 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen 2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html 3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ 4. dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx 5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm 6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ 7. Deine Passwörter ändern 8. Image deiner Systempartition erstellen mit z.B. Acronis True Image 7 9. Surfverhalten überdenken Info zur Installation von Win XP findest du hier: http://8ung.at/chemikers-home/SETUP.html und http://chip-faq.rufisplanet.ch/installation.html |
WOW! Danke für diese ausführliche Hilfe. Ich habe heute Morgen Windows Neuinstalliert und weitere von dir empfpohlene Schritte eingeleitet. Jetzt habe ich aber das Problem dass Windows ja die Patches bei der Neuinstallation überschrieben hat und ich jetzt kein Update mehr machen kann weil folgender Fehler immer angezeigt wird: [Fehlernummer: 0x800A01AE] Es ist ein Fehler aufgetreten. Windows Update kann die gewünschte Seite nicht anzeigen. Die folgenden Ressourcen können beim Beheben des Problems hilfreich sein: Optionen zur Selbsthilfe: Windows Update-Antwortcenter Windows Update-Problembehandlung Windows Update-Newsgroups Optionen für technischen Support: Microsoft-Onlinesupportunterstützung (für Windows Update-Probleme kostenlos) _______________________________________________________ Soll ich etwa ohne Patches bleiben? Hast du da eine Ahnung wie man jetzt nun dieses Problem lösen kann? Vielen dank. |
Zitat:
Welchen Browser verwendest du für das Update? Probiers mal mit diesem Link http://v4.windowsupdate.microsoft.com/de/default.asp Poste bitte ein aktuelles Log-File. |
Alternativ kannst du dir eine aktuelle PC-Zeitschrift holen, die alle das Service Pack 2 draufhaben und das nach der Neuinstallation gleich nachinstallieren, da hast du dein System fast auf dem aktuellesten Stand. Oder es dir herunterladen, installieren und dann brennen (für später): http://www.microsoft.com/downloads/d...5-9E368D3CDB5A |
Zitat:
Hie mal ein aktuelles Log-File: Logfile of HijackThis v1.98.0 Scan saved at 16:39:12, on 11.9.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\System32\wupda32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\WINDOWS\explorer.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\Opera75\opera.exe C:\Programme\ICQLite\ICQLite.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,SKEYS /I O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .exe: C:\Programme\Opera75\PLUGINS\NPNetPumper_Application.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab30149.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1094135730099 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab30149.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary...o.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.150.97 194.25.2.129 O18 - Filter: text/html - {CA45C872-74DC-461C-8468-7356A89A7E39} - C:\Dokumente und Einstellungen\**\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.15.dat |
Das sieht leider gar nicht gut aus. Überprüfe diesen Prozess bzw. die Datei bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis: C:\WINDOWS\System32\wupda32.exe Sieht mir sehr nach Sdbot oder Rbot aus. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:49 Uhr. |
Copyright ©2000-2024, Trojaner-Board