Trojaner-Board - Wer oder was ist "Spazbox.net"???

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wer oder was ist "Spazbox.net"??? (https://www.trojaner-board.de/7357-spazbox-net.html)

Wer oder was ist "Spazbox.net"???

Hallo, habe über die Suchfunktion nichts darüber gefunden, obwohl ich beim googeln auf dieses Forum gestossen bin. Mein Problem ist, das ich, sobald der Rechner an ist eine Mitteilung erhalte, dass ich oder ein Programm Kontakt zu 00spazbox.net erstellen möchte. (manchmal auch zu 01spazbox.net) Das ganze ist seit ich mal eine neue Firewall installiert hatte, mit dieser nicht klarkam und dann die XP standartmässige wieder nehmen wollte. Das dumme war nur, das ich im Net war, ohne die alte wieder zu aktivieren.
Bin was Computersachen angeht etwas unbedarft :headbang:
Ich wäre sehr, sehr froh, wenn mir da jemand helfen könnte.
Gruss
Christoph

Poste einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Hm, ich hoffe, Du hältst mich jetzt nicht für nur dumm, aber wie soll ich das machen? Also der Text der erscheint ist "Sie oder ein Programm versuchen Verbindung mit 00spazbox.net aufzunehmen. Soll die Verbindung hergestellt werden?"
Verzweifelte Grüsse
Christoph

Verbiete die Verbindung und tu das, was in der von Christian geposteten URL beschrieben ist. Dabei erstellst du ein Logfile dessen Inhalt du dann bitte hier in den Thread kopierst. Höchstwahrscheinlich hast du dir Spyware eingefangen und installiert, dagegen hilft auch die Firewall nicht, die kann diese Installation nicht verhindern, aber evtl. dann die Verbindung unterbinden. Also das Zeug gar nicht erst installieren.

Aber dazu evtl. später mehr, zunächst brauchen wir die Informationen des Logfiles von hijackthis. :)

Besorge dir auch schon mal E-Scan und update es wie hier beschrieben. Hast du einen Virenscanner?

http://www.trojaner-board.de/42731-escan-anleitung.html

Hallo,
danke zunächst für die eingegangene Hilfe. Wie kann ich das Highjackthis Dokument hier posten?
Ausserdem hab ich jetzt rausgefunden, welches Programm die Verbindung aufnehmen will: Windows\System32\rasautou.exe
Eventuell hilft das ja schon etwas weiter.
Gruss
Christoph

Du gehst auf save log, damit erstellst du eine textdatei, die dann auch gleich per Editor angezeigt wird, kopiere einfach den gesamten Text heraus und füge ihn hier in einem Beitrag ein.

Die rasautou.exe ist eigentlich eine Windowsdatei, möglich, dass diese von einem Schädling ersetzt oder mißbraucht wird, aber wir brauchen da erst mehr Informationen durch das Logfile.

Nun hab ichs
Logfile of HijackThis v1.98.2
Scan saved at 18:18:26, on 07.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\khooker.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Dialer Control\dc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\winmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\snmp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_18_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Die große Einladungs-Druckerei] E:\Setup\setup.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Dialer Control] C:\Programme\Dialer Control\dc.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\Exif Launcher\QuickDCF.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC0D6B64-AA60-4BED-B1CC-293340D1A286}: NameServer = 212.59.54.188 193.254.18.42

Das sieht leider nicht gut aus, da bei dir einieg ziemlich gefährliche Trojanische Pferde ihr Unwesen treiben:

http://www.sophos.de/virusinfo/analy...2agobotka.html

und evtl.auch diesen:

http://www.sophos.de/virusinfo/analy...2agobotka.html

Im Prinzip solltest du dein System neu machen, da ein potentieller Eindringling mit Hilfe dieser Schädlinge damit alles Mögliche angestellt haben KÖNNTE. Dazu wären dann einige grundätzliche Dinge zu beachten um in Zukunft eine weitere Infektion zu verhindern:

1.) Neu formatieren und installieren (Anleitung: http://8ung.at/chemikers-home/SETUP.html)
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org (dies wöchentlich wiederholen)
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren oder alternativ vorher noch Service Pack 2 downloaden oder von CD installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera, Firefox oder Mozilla umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Java-Script, Active-X, VBS)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können (http://virgolamobile.50megs.com/spyware/spyware.htm http://www.spywareguide.com/spywarelist.html), besondere Vorsicht ist bei allen erotischen und Warez-Seiten geboten
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar www.free-av.de ), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten (siehe 8.)
11) Bei Infektion mit Trojanern/Keyloggern: keine alten Passworte wiederverwenden, sondern alle neu anlegen

Wie gesagt, das wäre die Ideallösung, aber wenigstens zum Teil solltest du sie umsetzen. Eine Reparatur können wir versuchen, aber sie kann keine 100%ige Sicherheit mehr garantieren.

Frage: gehören diese programme zu von dir bewusst installierter Software:

O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
(das könnte von Star Office sein)

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Die große Einladungs-Druckerei] E:\Setup\setup.exe

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe (wenn du eine Grafikkarte von SiS hast, ist das ok, obwohl wahrscheinlich unnötig)

Hallo,
Star Office hab ich, SIS Grafikkarte auch, ebenso die Einladungsdruckerei.
Soundman sagt mir nichts.
Wie kann man es mit reparieren versuchen?

Zitat:

Wie kann man es mit reparieren versuchen?

Eine Bereinigung durch AV Scanner ist in deinen Fall nicht angebracht und wäre imho grob fahrlässig, da dein System mit Backdoor Trojaner kompromittiert wurde.
Dein System ist nicht mehr vertrauenswürdig und sollte deshalb zur deiner eigenen Sicherheit neuaufgesetzt werden.
http://oschad.de/wiki/index.php/Kompromittierung

Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Oh oh,
und mit reparieren wird echt nix :schmoll:
Gruss (verzweifelnd)
Christoph