|
Trojaner oder ähnliches Ungeziefer Hi Leute, kennt jemand von Euch den folgenden Trojaner (Ausschnitt aus dem CMD-Feld): ---------------------------------------- Aktive Verbindungen Proto Lokale Adresse Remoteadresse Status TCP Samsung:1051 downloads.aaa1screensavers.com:1110 WARTEND TCP Samsung:1068 downloads.aaa1screensavers.com:1110 WARTEND TCP Samsung:1070 downloads.aaa1screensavers.com:1110 WARTEND TCP Samsung:1110 downloads.aaa1screensavers.com:1050 WARTEND ---------------------------------------- Hab schon ADAware SE, hijackthis und Kasperky drüberlaufen lassen, auch im abgesicherten Modus. Aber der Dienst startet jedes Mal und ich finde ihn nicht. Bin dankbar für Tipps :-) Jens |
Hallo Jens, poste uns bitte einmal das Log von HijackThis. |
Hier ist das Log: Logfile of HijackThis v1.99.0 Scan saved at 10:14:49, on 13.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\BRQIKMON.EXE C:\Programme\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe danke für die Hilfe, Jens |
Hallo Jens, ich kann nichts Ungewöhnliches an dem Log erkennen. Hast Du Deinen Kaspersky-Scanner schon einmal im agesicherten Modus über alle Laufwerke/Festplatten scannen lassen? |
Hi Lutz! Ja, schon alles versucht...Aber der Rechner verbindet sich immer mit dieser aaa1downloadscreensavers-Seite...Bekomme das nicht weg und es macht den Browser langsam. Was mir aber aufgefallen ist, dass er nur beim Firefox die Verbindungen bekommt, beim IE scheint er es zu versuchen, ist aber immer auf wartend. Kann sich das Deiner Erfahrung nach noch ausbreiten? lG, Jens |
Hallo Jens, ganz 'koscher' scheint mir das, was auf der Seite zum Download angeboten wird, nicht zu sein. Ich werde mal versuchen, darüber mehr herauszufinden. Hast Du -evtl. aus einer ganz anderen Quelle- einen Bildschirmschoner installiert, welcher jetzt ständig 'nach Hause telefonieren' will? |
Ich hatte mal einen installiert, aber nur als Wallpaper, nicht als active desktop. Kann aber schon sein, dass er sich dabei "reingelurcht" hat... lG, Jens |
Hallo jensw, blocke zunächst die Verbindung zu aaa1screensavers.com: Start -> Ausführen -> notepad %windir%\System32\Drivers\etc\hosts eingeben und mit OK bestätigen. Danach diesen Eintrag kopieren -> unterhalb von '127.0.0.1 localhost' in die Hosts eintragen und abspeichern: 127.0.0.1 downloads.aaa1screensavers.com Sicherheitshalber noch eScan AntiVirus im abgesicherten Modus ausführen und die Virus Log Information posten. |
hi Cidre! danke, die URL war schon geblockz´t, aber trotzdem will sich das System verbinden. Hab folgendes Log bekommen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 15 13:22:48 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Sun May 15 13:22:48 2005 => File System Found infected by "cws.therealsearch Spyware/Adware" Virus. Action Taken: No Action Taken. Sun May 15 13:53:07 2005 => File C:\Meine Downloads\flashget.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Sun May 15 14:28:25 2005 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav Sun May 15 15:55:16 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 15 14:16:34 2005 => File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Sun May 15 15:55:16 2005 => Total Virus(es) Found: 3 Sun May 15 15:55:16 2005 => Total Errors: 12 Sun May 15 15:55:16 2005 => Time Elapsed: 02:34:18 Sun May 15 15:55:16 2005 => Total Objects Scanned: 63903 Sun May 15 13:20:03 2005 => Virus Database Date: 2005/05/15 Sun May 15 15:55:16 2005 => Virus Database Date: 2005/05/15 Sun May 15 16:06:22 2005 => Virus Database Date: 2005/05/15 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ lG, Jens |
Hallo Jens, wie ich bereits vermutete, sind zumindest nicht alle Downloads von besagter Seite ganz 'koscher'. Auf die Datei, die ich eingesandt habe, bekam ich von KAV heute folgende Antwort: Zitat:
|
Zitat:
Den Uninstaller erkennt die Bitdefender-Engine heuristisch als "BehavesLike:Trojan.StartPage". |
Danke Leute. Wisst ihr auch, wie man ihn löschen kann? lG, Jens |
Ich hoffe, dass klärt sich, wenn KAV den Übeltäter erkennt. Das Problem ist, dass wir im Moment noch nicht wissen, welche Datei genau bei Dir betroffen ist. |
Alles klar. Danke jedenfalls! lG, Jens |
Hallo, finde hier auch das STichwort "downloads.aaa1screensvers.com" Was auch unter: http://www.trojaner-board.de/showthread.php?t=16320&highlight=aaa1screensavers.com gefragt wird. Sobald ich ins Netz gehe wird versucht dorthin eine Verbindung herzustellen. Den Weg Systemwiderherstellung aus, Abgesicherter Modus hochfahren und alle Programme (addaware, Spybot, CWShredder, STinger, a-sqared, usw.) durchlaufen lassen hat nichts gebracht. Wisst ihr inzwischen mehr, was das genau ist? Vielen Dank im Voraus, Güße |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:27 Uhr. |
Copyright ©2000-2025, Trojaner-Board