|
hallo! seit gestern abend habe ich mit meinem rechner ziemliche probleme. zusäztliches problem: ich war nicht die person am pc, als das erste mal probleme durch trojaner etc auftraten und aja, den trojaner hab ich jetzt glaub ich weg, aber ich hab immer noch probleme. [img]redface.gif[/img] und zwar will der internet expl. immer wieder auf die seite www.blazefind.com , ich will da aber nicht hin!!! naja, und wenn er zu der seite kommt, dann lädt er aber nichts... hab jetzt mal was rumgestöbert und dies lo erstellt, poste ich mal hier, ok? auf jeden fall scheint mir da einiges dran faul zu sein (hab aber ehrlich gesagt auch nicht sooo die ahnung von rechnern etc)... könnte von euch vllt mal jemand durchsehen, was da alles nicht auf meinen rechner gehört und mir hefen, was ich jetzt weiter tun soll? das wäre wirklich super nett! :rolleyes: Logfile of HijackThis v1.97.7 Scan saved at 15:12:02, on 26.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe C:\Programme\Bargain Buddy\bin2\bargains.exe C:\Programme\Apoint2K\Apntex.exe C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\ICQ\ICQ.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/ O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet5_48.dll O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin2\apuc.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [msbb] C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin2\bargains.exe O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe O4 - HKLM\..\Run: [BEIL] C:\WINDOWS\BEIL.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O11 - Options group: [CommonName] CommonName O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19fbdabe5ec87ec97c21/netzip/RdxIE601_de.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37937.1714351852 O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB daaankeschön! |
Hallo Hanna, willkommen an Board! Erster Schritt: Gehe in >Systemsteuerung >Software und such nach "new.net" oder "NewDotNet" bzw. Ähnliches in dieser Richtung. Markiere diesen Eintrag und deinstalliere diese Spyware. Wenn fertig, sag Bescheid. ;) |
habs deinstalliert und neugestartet. und nu? |
Ein fetter Haufen Müll. Wichtig: Zuerst NewDotNet (NewNet, New.Net) per Systemsteuerung -> Software deinstallieren. Auch nach dem Eintrag "Web3000" o.ä. suchen und deinstallieren. Bei einfacher Löschung zerschießt diese Foistware das Netzwerk. http://www.cexx.org/newnet.htm http://accs-net.com/smallfish/web3000.htm "winnet.exe" und "comwiz.exe" = Spyware CommonName http://www.doxdesk.com/parasite/CommonName.html Um es abzukürzen: Da ist noch mehr Spyware, nämlich Bargain Buddy, CNBabe, IgfxTray, MyBar, IESearchBar. Spybot S&D anwenden - www.safer-networking.org Vor der Anwendung unbedingt updaten. Danach nochmal einen Log posten zum Reste entfernen. Da ist nämlich noch mehr merkwürdiges Zeugs. C:\WINDOWS\BEIL.exe C:\WINDOWS\Downloaded Program Files\bridge.dll |
Jetzt erstmal nach Web3000 suchen und deinstallieren. |
</font><blockquote>Zitat:</font><hr />Original erstellt von hanna_s: [...]den trojaner hab ich jetzt glaub ich weg, aber ich hab immer noch probleme. [img]redface.gif[/img] </font>[/QUOTE]Welche Trojaner? Welches AntiViren-Programm gab welche Meldung aus? </font><blockquote>Zitat:</font><hr />und zwar will der internet expl. immer wieder auf die seite h**p://www.blazefind.com</font>[/QUOTE]Der Internet Explorer ist kein ausreichend sicherer Browser, und sollte daher durch eine sicherere Alternative ausgetauscht werden. </font><blockquote>Zitat:</font><hr />hab jetzt mal was rumgestöbert und dies lo erstellt, poste ich mal hier, ok?</font>[/QUOTE]Sicher. Das Folgende ist Adware, also Systemballastm der unbedingt gelöscht werden sollte (dazu im Laufe des Postings mehr): C:\DOKUME~1\THORST~1\LOKALE~1\Temp\msbb.exe C:\Programme\Bargain Buddy\bin2\bargains.exe C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe C:\PROGRA~1\COMMON~2\ADDRES~1\comwiz.exe Vor folgenden Einträgen solltest du in HijackThis ein Häkchen setzen und dann "Fix checked" klicken. Der IE muss dabei geschlossen sein. R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.blazefind.com/search.php?search=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.blazefind.com R1 - HKLM\Software\Microsoft\Internet R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.blazefind.com/search_page.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.blazefind.com O2 - BHO: BabeIE - {00000000-0000-0000-0000-000000000000} - C:\PROGRA~1\COMMON~2\ADDRES~1\cnbabe.dll O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\PROGRA~1\BARGAI~1\bin2\apuc.dll O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [Bargains] C:\Programme\Bargain Buddy\bin2\bargains.exe O4 - HKLM\..\Run: [winnet] C:\PROGRA~1\COMMON~2\ADDRES~1\winnet.exe O4 - HKLM\..\Run: [BEIL] C:\WINDOWS\BEIL.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://connect.online-dialer.com/MaConnect.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/19fbdabe5ec87ec97c21/netzip/RdxIE601_de.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/bridge.cab O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB Dann die Systemwiederherstellung in XP deaktivieren, System neu starten. Abschließend Spybot S&D von http://security.kolla.de laden, installieren, updaten, scannen lassen, Malware-Reste entfernen. Systemwiederherstellung reaktivieren und System neu starten. Den Browser wechseln (der IE ist, wie gesagt, zu unsicher): - http://mozilla.kairo.at - http://firebird-browser.de - http://opera7.de Edit, wichtig! Unbedingt den Hinweis von spacelord bzgl. web3000 beachten (das ist die msbb.exe und auf sie verweisende Einträge). Ebenso deinstallieren wie NewDotNet. [ 26. Januar 2004, 16:27: Beitrag editiert von: mmk ] |
vielen dank. werd mir eure antworten jetzt erst mal ausdrucken,muss jetzt leider zu nem wichtigen termin, danach versuchen, das hier am rechner zu managen... :confused: danke aber schon mal, wirklich! |
Bzgl. der Vorgehensweise: Du kannst es machen, wie von mmk vorgeschlagen, also erst die HijackThis-Einträge "fixen", dann Spybot S&D anwenden, oder aber umgekehrt: Erst Spybot S&D, dann nochmal einen Log posten. Nur um Verwirrung zu vermeiden... Aber du sagst uns noch, was "C:\WINDOWS\BEIL.exe" ist, ne ? Falls du's nicht weißt, schickst du mir die Datei mal bitte ? Thx. |
also hab jetzt alles so in der art gemacht, wie ihr meintet (ähm, die reihenfolge, keine ahnung, aber müsste geklappt haben). tut mir jetzt leid, beil.exe ist leider schon weg, habs hier zu spät gelesen. :( web300 oder so in der arthab ich nicht gefunden. und die trojaner... also, einen, der stubby hieß und gestern kam und dann heute noch zwei, die ich aber sofort absoluut gernvt gelöscht habe, als antivir die meldete. (<-hab übrigens antivir :D ) ich poste jetzt noch mal den aktuellsten log, ok? und vielen vielen dank noch mal! Logfile of HijackThis v1.97.7 Scan saved at 21:38:44, on 26.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\Apoint2K\Apoint.exe C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Apoint2K\Apntex.exe C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\HijackThis.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://web.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37937.1714351852 |
ich bins noch mal [img]smile.gif[/img] hab noch mal wegen den trojanern nachgeguckt. also, der erste von gestern war: TR/Stubby und dann heute: TR/Beloru TR/IstBar.S und jetzt hab ciha uch erkannt, wo das beil.exe her kam, nämlich von TR/Beloru. |
Hallo Hanna! Das Log sieht nun OK aus, solange du aber den IE nutzt, wirst du immer wieder diese Art von Malware installiert bekommen können: TR/Stubby http://www.sophos.com/virusinfo/anal...ppstubbya.html TR/Beloru (auf die Schnelle keine Infos gefunden) TR/IstBar.S http://www.doxdesk.com/parasite/ISTbar.html Tipp: such dir einen der von mir bereits oben verlinkten Alternativbrowser aus! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board