» Willkommen Gast   | Registrieren

PC Forum
Software
Antworten in:

Antwort auf
Benutzername:   Noch nicht registriert?
Passwort:   Passwort vergessen?
iB Code Einmal klicken um den Tag zu öffnen, nochmal klicken zum Schliessen

Top Smilies
Beitrag

HTML ist on für dieses Forum

IkonCode ist on für dieses Forum

SMILIES LEGENDE ansehen
Beitragsoptionen

 Möchten Sie Ihre Signatur hinzufügen?
Wollen Sie per Email über Antworten informiert werden?
Wollen Sie Emoticons in Ihrem Beitrag aktivieren?
 

Beitragsrückblick für (die neuesten Beiträge zuerst)
kammerjaeger Erstellt: 9:11 am 2. Sep. 2004
Versuch mal, passende Removal-Tools von BitDefender oder Symantec zu finden. Die sind die beste Wahl, wenn man den Virus kennt und laufen meist auch im normalen Windows.
cheech2711 Erstellt: 23:25 am 1. Sep. 2004
jo son sch**** hatte auch das erste mal ärger mit vieren, ich hatte ungefähr 15 trojaner drupp:blubb: ungalublich und den einen (vom ersten eintrag konnte ich auch net löschen:blubb:dreckskagge und son sch**** wie 0180 blaa... jedesmal wenn ich den IE aufgemacht habe gingen irgendwelche seiten mit werbung auf und in der software hatte ich auch ungefähr 6 neue einträge wie bullsnet und son kram
naja jedenfalls habe ich den verfuc*ten trojaner dann doch noch wegbekommen mit antivir datei löschen und durch andere erstzten nach 10x den selben befehl war das teil weg´


ps dem verfuc*ten Gates gehört für sone sch****e(sorry) richtig in den Arsch getreten
:grr::rocket:

(Geändert von cheech2711 um 23:27 am Sep. 1, 2004)
Eisenblut Erstellt: 1:59 am 31. Aug. 2004
Und vergiss nicht, danach alle deine im Internet verwendeten Passwörter zu ändern. Ist zwar lästig, aber du musst davon ausgehen, dass du dir auch einen Keylogger gefangen hast.
Live1982 Erstellt: 1:12 am 31. Aug. 2004
Hi!

Ja da sind mir einige Sachen auch sehr suspekt, daher werde ich Windows morgen neu installieren. :blubb:

Ist zwar ne Menge arbeit, aber was solls :gulp:
Eisenblut Erstellt: 22:09 am 30. Aug. 2004
Zitat von Live1982 am 16:51 am Aug. 30, 2004

C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\sdkzp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
O2 - BHO: (no name) - {C726D36D-9BDF-0383-F849-161DD3B7B85F} - C:\WINDOWS\system32\nethy32.dll
O4 - HKLM\..\Run: [sdkzp.exe] C:\WINDOWS\sdkzp.exe
O4 - Startup: ruhezeitaktivität.bat
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DE41653-611B-4DDD-B327-5FE6FB95CD37}: NameServer = 205.188.146.146


Das sind die Sachen, die mir komisch vorkommen. Die Exes müssen nichts bedeuten, können von einer bei dir installierten Software stammen. Überprüfe das.

Aber die Umleitung deines Internetverkehrs über die ntnjp.dll ist sehr ungewöhnlich und deine Start- und Suchseiten sind wohl auf Searchmiracle umgeleitet. Die Webseiten in der Trusted Zone sind verdächtig, dadurch können sie dir nämlich Programme auf den Rechner schieben.

Und überprüfe, ob der Nameserver der von deinem Provider ist oder du ihn fest eingetragen hast.

Deine Browser Helper Objects überprüfst du mit dem
BHO Demon 2.0.
Weniger Antworten Mehr Antworten
SchlitzerMcGourgh Erstellt: 20:08 am 30. Aug. 2004
HijackThis is a tool, that lists all installed browser add-on, buttons, startup items and allows you to inspect, and optionally remove selected items. The program can create a backup of your original settings and also ignore selected items. Additional features include a simple list of all startup items, default start page, online updates and more. Intended for advanced users.


das ist eben das alles was da steht und was auch mit dem system hochfährt

(Geändert von SchlitzerMcGourgh um 20:09 am Aug. 30, 2004)
Live1982 Erstellt: 16:51 am 30. Aug. 2004
Hier ist die Log-Datei von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 16:50:58, on 30.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\sdkzp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot\TeaTimer.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Raffi\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ntnjp.dll/sp.html#29126
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {C726D36D-9BDF-0383-F849-161DD3B7B85F} - C:\WINDOWS\system32\nethy32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [sdkzp.exe] C:\WINDOWS\sdkzp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot\TeaTimer.exe
O4 - Startup: ruhezeitaktivität.bat
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Real.com (HKLM)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchmiracle.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DE41653-611B-4DDD-B327-5FE6FB95CD37}: NameServer = 205.188.146.146


Kann da einer was mit anfangen?
CMOS Erstellt: 16:30 am 30. Aug. 2004
Systemwiederherstellung deaktivieren;mit AntiVir, Ad-aware und Spybot scannen, wobei das entscheidene ist, dass die von Spybot/Adaware identifizierten Dateien MANUELL gelöscht werden müssen , da Spybot diese nur scheinbar löscht ; genauso müssen Temporary Internet Files, Cookies gelöscht werden und nicht durch den Internet Explorer.

Und dannach mal das durchlaufen lassen-->http://www.spychecker.com/program/hijackthis.html


--> wie ich von betroffenen usern erfahren habe, funzt die entfernung zwar, aber sobald sie sich wieder ins inet einwählen (mit dem IE) haben sie den sch**** wieder !!! -> muss also eine sicherheitsprob im ...  genau IE ... sein.

bis ein entsprechender patch released wird, ist es wohl ratsam auf den IExploiter zu verzichten und zb firefox, etc zu nutzen.

ps: in diesem fall ist der vorschlag meines vorredners gar nicht so verkehrt ;(

viel glück


(Geändert von CMOS um 16:30 am Aug. 30, 2004)
Metal666Heart Erstellt: 16:09 am 30. Aug. 2004
Formatieren P
Eisenblut Erstellt: 16:05 am 30. Aug. 2004
Reparatur machen und alle Patches neuinstallieren. Dann sind alle Dateien durch die Originale ersetzt.
×