Trojaner-Board - Download "help.asp vonn 777.sexfiles.nu": Was soll das sein?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Download "help.asp vonn 777.sexfiles.nu": Was soll das sein? (https://www.trojaner-board.de/8452-download-help-asp-vonn-777-sexfiles-nu.html)

Download "help.asp vonn 777.sexfiles.nu": Was soll das sein?

Hallo zusammen!
Hier mein Problem: Sobald ich über mein Modem ins Internet gehe (über FreeNet), öffnet sich ein Fenster mit "Download help.asp von 777.sexfiles.nu". Ich hab keine Ahnung wo ich mir das eingefangen habe und dank meiner "guten Computerkenntnisse" auch keine Ahnung wie ich das wieder loswerde. Ich hab dann versucht, über hijackthis etwas zu erreichen, kann aber nicht viel damit anfangen. Könnte mir da jemand helfen?
Hier ist das Logfile: (ich hoffe, das nützt was...)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\David\Eigene Dateien\Allgemeiner Schriftverkehr\Hijackthis\hijackthis1982\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} - C:\WINDOWS\System32\Winad2.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Vielen Dank

mfg, Daffit

Hallo daffit,

besuche www.windowsupdate.com und update Dein System.

Boote in den abgesicherten Modus, falls Du Windows XP verwendest, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix checked klicken):

O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} -
C:\WINDOWS\System32\Winad2.dll (file missing)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

wenn Du diese Einträge nicht kennst/brauchst, bitte ebenfalls fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.startseite.de/searchbar
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx

Boote in den normalen Modus.
Entferne:

C:\WINDOWS\System32\vbsys.dll

Aktiviere die Systemwiederherstellung, falls Du Windows XP verwendest.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Der eScan ab Version 4.5.1 löscht gefundene Malware nicht automatisch. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Teile uns das Ergebnis des eScan mit: welche Viren (Namen) wurden auf Deinem Rechner gefunden. Erstelle ein neues Hijack This Logfile und poste es, aber bitte mit der vollständigen Information:

Logfile of HijackThis v1.98.2
Scan saved at
Platform: Windows
MSIE: Internet Explorer v

SD

Hallo Shadowdance!
Erstmal vielen Dank für Deine Hilfe!!!! Hat etwas gedauert, aber ich glaube ich habs soweit. Zumindest geht dieses verfluchte Fenster nicht mehr auf! Es war wohl einiges auf meiner Platte versteckt, hier ist das Ergebnis des eScans:

File C:\WINDOWS\System32\ied.exe infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\mstmp.html infected by "TrojanDownloader.VBS.Psyme.based" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\David\SetHomepage.exe infected by "Trojan.Win32.StartPage.ee" Virus. Action Taken: No Action Taken.

C:\ied_s7m.cab infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: No Action Taken.

Ich habe die betroffenen Dateien dann nach Deiner Anweisung gelöscht,
war nur etwas mühselig. Das neue Logfile wolltest Du auch noch sehen, hier ist es:

Logfile of HijackThis v1.98.2
Scan saved at 16:07:36, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\David\Eigene Dateien\Allgemeiner Schriftverkehr\Hijackthis\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx

Die AutoCad-Einträge hab ich gelassen, es handelt sich hierbei um ein Zeichenprogramm. Ich denke, der Rest ist ok. Oder was meinst Du?
Kannst Du mir noch sagen, was bei ZoneAlarm die Meldung "Generic Host Process for Win32 Services möchte Verbindungen aus dem Internet zulassen" bedeutet? (Naja, vielleicht ist es auch zuviel des Guten :) )

Vielen Dank noch mal

daffit

Dein Log ist sauber - du solltest aber unbedingt noch www.windowsupdate.com aufsuchen und alle Updates und Patches installieren!

Hallo zusammen. Habe das gleiche Problem wie daffit. Das größere Problem ist nur, dass mir beim hijack scan folgende Einträge nicht angezeigt werden:

O2 - BHO: Advertiser Class - {53D3C442-8FEE-4784-9A21-6297D39613F0} -
C:\WINDOWS\System32\Winad2.dll (file missing)
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://www.startseite.de/searchbar
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx

wäre super, wenn mir jemand weiterhelfen könnte.

Danke schomal im voraus.
Beynlore

Hallo Beynlore,

erstelle bitte ein komplettes Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD

Hallo, ich habe auch diese komische Download-Datei. Aber anscheinend
ist sie unvollständig auf meinem Rechner so das alles was ihr bisher
empfohlen habt nicht funktioniert.
Der Trojaner bzw. die Meldung kommt nur nach einem Neustart des
Computers und erstmaligen Start vom Internet-Explorer.

Wo bitte könnte diese Anweisung, dass die "help.asp von 777.sexfiles.nu"
geladen werden soll noch stehen.

Wie gesagt bisherige Versuche haben alle nichts ergeben. Der Trojaner
hat auch noch keinerlei Dateien verändert.

Vielen herzlichen Dank
Andreas

Hallo toatie,

erstelle bitte ein Hijack This Logfile und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html.

SD