|
Trojaner oder HiJacker Hallo Experten, seit heute morgen habe ich mir einen unangenehmen Plagegeist eingefangen. Das Problem: -Cursor spielt verrückt und zittert -Eingabemöglichkeiten über Internetbrowser nahezu unmöglich, da die Buchstabenreihenfolge ständig verändert wird -einzelne Fenster in den unterschiedlichsten Anwendungen (Outlook, Windows Explorer, etc) verschieben sich und flackern -die Funktionen übers Windows Startmenue sind über Maus garnicht und über Tastatur kaum anzusteuern -ANTI Vir wurde eigenständig abgeschaltet (habe ich jetzt wieder aktiv) Normalerweise arbeite ich mit FireFox. Aber in den letzten 2 Wochen war ich vielleicht 4 oder 5 mal mit dem Explorer unterwegs. Was für ein Geist mag sich auf meinem Rechner eingefangen haben? Und viel wichtiger, wie bekomme ich ihn wieder los? Beste Grüße - Benno |
Hallo, schaffst du es denn noch ein Hijacklog zu erstellen, bzw. einen eScan laufen zu lassen? Zumal das hier.. Zitat:
Gruß Daniel |
Hallo Daniel, wenn du mir sagen kannst, wie ich einen Hijacklog erstelle, bzw. einen eScan durchführe dann ist es schon einmal ein Anfang. Habe vorhin mal AntSpy installiert und GameHook.Dll in Quarantäne gestellt. Jetzt sind zwar einige Funktionen meiner LogiTech Maus und Tastatur nicht verfügbar, jedoch beruhigt sich das System nach dem wiedrholten Neustart. Gruß Benno |
mOIn BerlinB, alles was du wissen mußt hier http://www.trojaner-board.de/showthread.php?t=17493 und halte dich bitte an die Anleitung MFG aus HH |
Habe gerade mein Log_file erstellt. Hier der Auszug. Kannst du mir deinen Kommenatr dazu geben? Logfile of HijackThis v1.99.1 Scan saved at 19:59:44, on 30.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe C:\WINDOWS\system32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\TpShocks.exe C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\FRITZ!DSL\FwebProt.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe C:\Programme\FRITZ!DSL\StCenter.EXE C:\WINDOWS\system32\IPSSVC.EXE C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe C:\WINDOWS\System32\QCONSVC.EXE C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TPHDEXLG.EXE C:\WINDOWS\system32\TpKmpSVC.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\ThinkPad\Utilities\TpKmapMn.exe C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe C:\Programme\Mozilla Firefox\firefox.exe C:\All Download\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TpShocks] TpShocks.exe O4 - HKLM\..\Run: [ControlCenter] "C:\Programme\ThinkVantage Fingerprint Software\ctlcntr.exe" /startup O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKCU\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: hp psc 1000 series.lnk = ? O4 - Global Startup: hpoddt01.exe.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\PkgMgr.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll O11 - Options group: [JAVA_IBM] Java (IBM) O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://www.copas-group.net/iNotes6W.cab O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ O20 - Winlogon Notify: psfus - C:\Programme\ThinkVantage Fingerprint Software\psfus.dll O20 - Winlogon Notify: QConGina - C:\WINDOWS\SYSTEM32\QConGina.dll O20 - Winlogon Notify: tpfnf2 - C:\WINDOWS\SYSTEM32\notifyf2.dll O20 - Winlogon Notify: tphotkey - C:\WINDOWS\SYSTEM32\tphklock.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe O23 - Service: maxx Archive Exchange Event Installer (EISrv) - Unknown owner - C:\Programme\GotoMaxx\maxxArchivProfi\MailSystem\EISrv.exe O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Ltd. - C:\WINDOWS\system32\IPSSVC.EXE O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - Lenovo - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe O23 - Service: Protector Suite Virtual Token (vtserver) - UPEK Inc. - C:\Programme\Gemeinsame Dateien\Virtual Token\vtserver.exe |
Also irgendwie werde ich aus diesem Log noch nicht schlau, bei solchen Einträgen: O20 - Winlogon Notify: NavLogon - C:\WINDOWS\ Mach mal einen kompletten eScan und danach lade dir F-Secure Blacklight...poste jeweils die Berichte hier in deinen Beitrag! Vielleicht kriegt man so mehr darüber heraus... Gruß Daniel |
Er arbeitet noch, im Virus Log gabs aber schon etwas... Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "mediamotor Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Habe den Scan wohl nicht im abgesicherten Modus laufen. Soll ich den Scan abbrechen und in den abgesicherten Modus wechseln? |
Hi Daniel, kann ich mit dem Virus Log schon etwas machen, auch wenn der eScan noch läuft? Gruß Benno |
Warte bis er komplett fertig ist! Du weißt ja nicht was er vielleicht noch alles findet...;) |
Der Scan kann wohl noch eine ganze Zeit dauern. Momentan ist nur die Systempartition dran (seit gut einer Stunde) und die Partition mit meinen eigenen Daten kommt wohl noch... Vielleicht sollte ich das ThinkPad über Nacht laufen lassen. Kann ich dich morgen früh erreichen? Meine eMail ist pont123@gmx.de Ich muss jetzt leider die Bürotür hinter mir schließen. Gruß Benno |
Guten Morgen zusammen - konnte leider gestern Abend nicht mehr auf das Ende des eScans warten. Hier habe ich nun den Virus Log: Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken. Object "mediamotor Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "whenu.savenow Spyware/Adware" found in File System! Action Taken: No Action Taken. Weiterhin wurden wohl 34 Fehler gefunden. Sagt uns das Lag-File etwas neues? Beste Grüße - Benno |
führe als erstes das aus ... ---> SmitfraudFix und lade danach --> Ad-Aware außerdem erwarte ich noch den Bericht von Blacklight... ;) |
Hi [Gc]Sunny - habe jetzt schön meine Hausaufgaben gemacht. Ich hoffe du bist noch nicht abgenervt. Als fangen wir mal an: 1) der Blacklight Bericht hat leider nichts gezeigt 2) SmitFraudFix "Rapport": SmitFraudFix v2.53 Scan done at 22:05:11,26, 01.06.2006 Run from C:\All Download\SmitFraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in safe mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End 3) Ad Aware Scan (Auszug aus dem Scan Log) Memory scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Registry Scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started deep registry scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Deep registry scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 0 Started Tracking Cookie scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Tracking Cookie Object Recognized! Type : IECache Entry Data : bernhard schade@tripod[1].txt TAC Rating : 3 Category : Data Miner Comment : Hits:1 Value : Cookie:bernhard schade@tripod.com/ Expires : 19.05.2007 13:54:10 LastSync : Hits:1 UseCount : 0 Hits : 1 Tracking cookie scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 1 Objects found so far: 1 Deep scanning and examining files (C:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for C:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Deep scanning and examining files (F:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for F:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Deep scanning and examining files (Y:) »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Disk Scan Result for Y:\ »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 Scanning Hosts file...... Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts". »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Hosts file scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 1 entries scanned. New critical objects:0 Objects found so far: 1 Performing conditional scans... »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Conditional scan result: »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» New critical objects: 0 Objects found so far: 1 22:19:08 Scan Complete Summary Of This Scan »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:06:46.500 Objects scanned:151778 Objects identified:1 Objects ignored:0 New critical objects:1 4) Ad Aware Quarantäne: ArchiveData(auto-quarantine- 2006-06-01 22-27-25.bckp) Referencefile : SE1R110 31.05.2006 ====================================================== TRACKING COOKIE »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» obj[0]=IECache Entry : Cookie:bernhard schade@tripod.com/ Kannst du etwas damit anfangen? Bin für deine Hilfe echt dankbar. Gruß Benno |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:35 Uhr. |
Copyright ©2000-2024, Trojaner-Board