Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Angriff auf breiter Front? (https://www.trojaner-board.de/8852-angriff-breiter-front.html)

Roman_C 26.10.2004 19:12
Angriff auf breiter Front?
 
1. Problem:
das Programm "Spyware Nuker 2004" zeigt an, das im PC die Spyware Exploit sitzt. Klicke ich auf das Kreuz im kleinen Kästchen, so zeigt sich: "Registry Entry".

Hinzugekommen ist inzwischen: eine SpyWare namens CoolWebSearch, die vom SpywareType als Hjacker bezeichnet wird mit der Description: Hjacks Browser settings and redirects traffic to www.coolwebsearch.com or other search engines.

Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com

2.Problem:
Beim Anklicken verschiedener Links erklingt über den Lautsprecher ein hämisches "Nee-nee" oder auch als "ii-ii" zu beschreiben. Dabei läßt sich der Link nicht aufrufen. Der Verursacher, wer auch immer, scheint zu ahnen, was ich anzuklicken beabsichtige. Einige Klickversuche werden abgewiesen, auch wenn keine Internet-Verbindung besteht. Aber ich habe auch - bei bestehender InternetVerbindung - den Eindruck, das er meinen Screen sehen könnte. Und sich direkt einkischt.

Weitere Virensuchprogramme zeigen an, das auf dem PC als Störer noch sitzen: ALEXA sowie XerOx.

Was also sollte ich tun bzw. wo suchen?
Auch Tipps, wo ich Infos finde, sind sehr erwünscht.

Freundlichen Gruss Roman_C

Haui45 26.10.2004 19:28
Poste mal ein Hijackthis Logfile ins Forum

warhawk 26.10.2004 19:29
Zitat:
Zitat von Roman_C
1. Problem:
das Programm "Spyware Nuker 2004" zeigt an, das im PC die Spyware Exploit sitzt. Klicke ich auf das Kreuz im kleinen Kästchen, so zeigt sich: "Registry Entry".

Hinzugekommen ist inzwischen: eine SpyWare namens CoolWebSearch, die vom SpywareType als Hjacker bezeichnet wird mit der Description: Hjacks Browser settings and redirects traffic to www.coolwebsearch.com or other search engines.

Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com
[...]
Freundlichen Gruss Roman_C
xxxtoolbar.com/slotch.com = BOESEEEEEEEEE
Der Registry entry HKey_Current_User\Software\Microsoft\Windows\Current Version\Internet Setting\zonemap\ domain\xxxtoolbar.com\*

Spybot sollte eigentlich meckern, wenn der * Eintrag nicht auf 4 steckt fuer verbotene Zonemap, wenn naemlich * = 2 ist, bedeutet dass die Seite vertrauenswuerdig waere *hustel*

Roman_C 27.10.2004 14:52
Zitat:
Zitat von Haui45
Poste mal ein Hijackthis Logfile ins Forum
Das Herunterladen von Hijackthis hat gut funktioniert. Folgendes hat es gebracht:


Logfile of HijackThis v1.98.2
Scan saved at 15:42:04, on 27.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\JCMB\QUICKNOTE\QUICKNOTE.EXE
C:\T-ONLINE\BSW4\TOADIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\WINSWEEP\WSPOPUP.EXE
C:\PROGRAMME\WINSWEEP\WINJAM.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER2.3\SMARTSURFER.EXE
C:\WINDOWS\SLLIGHTS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\LOGOX.4.0\LOGOX4.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALEVENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL
O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_3.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHELPER.DLL
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAMME\YAHOO!\COMPANION\YCOMP5_0_2_3.DLL
O3 - Toolbar: &WINSWEEP Toolbar - {E915E62E-41DA-40D0-8106-3438B4D24394} - C:\PROGRAMME\WINSWEEP\SURFBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Quicknote] C:\PROGRAMME\JCMB\QUICKNOTE\QUICKNOTE.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\RUNONCE.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [WINSWEEP Popupblocker] C:\PROGRAMME\WINSWEEP\WSPopup.Exe /STEP1 /SOUND
O4 - HKCU\..\Run: [WINSWEEP Reklameblockierung] C:\PROGRAMME\WINSWEEP\winjam.exe
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm
O8 - Extra context menu item: &Google Search - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate Page - res://C:\WINDOWS\DOWNLOADED PROGRAM FILES\GOOGLETOOLBAR_DE_1.1.60-DELEON.DLL/cmtrans.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: BINGOOO - {1E06A5C1-5ADE-11D6-8E8F-B71E4B0D604F} - C:\PROGRAMME\BINGOOO\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\FLASHGET.EXE
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRAMME\GEMEINSAME DATEIEN\WEBSPEECH.4.0\LGXIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: PicGrab - {33192320-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (file missing) (HKCU)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yaho...yiebio4025.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...43/yacscom.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhel...7/dlhelper.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://game.spielbank-wiesbaden.de/plugin.php

*Christian* 27.10.2004 22:15
Es wird dir wohl kaum weiterhelfen, aber fixe mal dies:

O9 - Extra button: BINGOOO - {1E06A5C1-5ADE-11D6-8E8F-B71E4B0D604F} - C:\PROGRAMME\BINGOOO\BINGOOO\BINGOOO.EXE (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra button: PicGrab - {33192320-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: (no name) - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {33B1B9A0-5548-11D6-8E8F-8F38F9E2834E} - C:\PROGRAMME\PIC GRAB 2. VERSUCH ENTFALTET\iestarter.exe (file missing) (HKCU)
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (file missing) (HKCU)
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} (Google Activate) - http://toolbar.google.com/data/de/d...n/GoogleNav.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.yah.../yiebio4025.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.co...v43/yacscom.cab
O16 - DPF: {AED98630-0251-4E83-917D-43A23D66D507} (WebHandler Class) - http://activex.microgaming.com/DLhe...n7/dlhelper.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://game.spielbank-wiesbaden.de/plugin.php


Scanne mal hiermit im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131