|
removetracks als Bildschirmhintergrund Wie so viele andere fange auch ich mit: Ich habe ein Problem an. Da über meinen Rechner unser Server gesichert wird bleibt dieser auch am Wochenende an. Am Montag hatte ich dann einen roten Bildschirm mit Text: Your Computer is full off traces. Your IP Adress is logged etc. Es gibt eine Verlinkung zu der Webseite: h**p://www.removetracks.info/?adv=164&sub=dc4 . Was Habe ich mir da eingefangen und wie bekomme ich es wieder weg? Bin für jede Hilfe sehr dankbar. Mein HijackThis Logfile: Logfile of HijackThis v1.99.1 Scan saved at 14:56:35, on 21.02.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\WINDOWS\system32\spoolsv.exe D:\WINDOWS\system32\cisvc.exe D:\Programme\RealVNC\VNC4\WinVNC4.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\SOUNDMAN.EXE D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe D:\Programme\Java\jre1.5.0_04\bin\jusched.exe D:\WINDOWS\System32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Skype\Phone\Skype.exe D:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe D:\Programme\TOPCOM\BULTER 4012\Butler 4012 USB VoIP.exe D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe D:\WINDOWS\System32\wuauclt.exe D:\WINDOWS\system32\cidaemon.exe D:\Programme\AntiVir PersonalEdition Classic\avguard.exe D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe D:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\Programme\Internet Explorer\iexplore.exe D:\Programme\Internet Explorer\iexplore.exe D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHM7S92J\hijackthis_199[1]\HijackThis.exe O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] D:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe O4 - HKCU\..\Run: [updateMgr] D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_3 O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BackUp Maker.lnk = D:\Programme\ASCOMP Software\BackUp Maker\bkmaker.exe O4 - Global Startup: Butler 4012 USB VoIP.lnk = ? O4 - Global Startup: Lexware Info Service.lnk = D:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe O4 - Global Startup: Zahlungserinnerung.lnk = C:\PROFIneu\wzed.exe O8 - Extra context menu item: &Google Search - res://d:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Translate English Word - res://d:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Backward Links - res://d:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://d:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://d:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate Page into English - res://d:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O23 - Service: WindowInstallSystem (97f2036a4f3svr) - Unknown owner - D:\WINDOWS\97f2036a4f3.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - D:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: UPnPService - Unknown owner - D:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - D:\Programme\RealVNC\VNC4\WinVNC4.exe" -service (file missing) Danke |
Hallo bauenundkochen, wenn ich das richtig verstehe ist das ein Firmenrechner.Somit solltet ihr auch einen zuständigen Admin haben.In aller Regel werden hier keine Firmenrechner "behandelt".Euer Admin wird dafür bezahlt und würde sich mit Recht beschweren, wenn Andere in seinem System rumpfuschen.Allerdings spricht das nicht für einen Könner : Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Spaßeshalber könntest du mal diese Datei bei Jotti scannen lassen : O4 - HKLM\..\Run: [97f2036a4f3] D:\WINDOWS\System32\97f2036a4f3.exe Link zu Jotti : http://virusscan.jotti.org/de/ rrlicht |
Leider kein Administrator da kein Firmenrechner sondern WG. Die Datei D:\WINDOWS\System32\97f2036a4f3.exe ist leider nicht vorhanden? Weder über Suchfunktion oder direkt! Brauche echt hilfe! |
Hallo bauenundkochen, nimm diese Einstellung vor, falls noch durchgeführt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken Es kann durchaus sein, dass diese Datei ihren Namen nach jedem Neustart ändern. Achte beim manuellen Suchen, wenn Du die genannte nicht findest, auf eine mit ähnlicher Zahlen-und Ziffern-Kombination. dartus |
Hallo, sorry wenn ich dazwischen funke, aber ein Log von Rootkitrevealer(File>>Save) könnte auch Aufschluß geben. Achte darauf währernd dem scan nichts anderes zu machen. Grüße Wildone |
Hallo zusammen; die folgenden Einstellungen hatte ich schon vorgenommen. Kann die Datei aber trotzdem nicht finden. nimm diese Einstellung vor, falls noch durchgeführt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "Häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken Hier das Log von Rootkitrevealer: D:\WINDOWS\97f2036a4f3.exe 20.02.2006 19:21 64.00 KB Hidden from Windows API. D:\WINDOWS\97f2036a4f3.ini 17.02.2006 22:08 618 bytes Hidden from Windows API. D:\WINDOWS\Prefetch\97F2036A4F3.EXE-209238CC.pf 20.02.2006 21:49 16.83 KB Hidden from Windows API. D:\WINDOWS\system32\97f2036a4f3.exe 20.02.2006 21:48 85.50 KB Hidden from Windows API. Ich hoffe das hilft euch bei der suche. Danke für eure Bemühungen. |
Hallo, habe mich noch ein wenig über google kundig gemacht. Das ist schon ein ausgewachsenes Rootkit und ist nur sehr kompliziert zu entfernen, und selbst dann kann man sich nicht sicher sein ob man alles erwischt hat. Ich würde dir raten das System nach dieser Anleitung neu aufzusetzen und abzusichern. Und zukünftig sollte darauf geachtet werden das System immer auf dem neusten Stand zu halten (SP2 ist Pflicht!). Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:26 Uhr. |
Copyright ©2000-2025, Trojaner-Board