Hallo und guten Abend Tom Rabe,
tja, da hast Du Dir wohl was eingefangen, denn TB macht dies nicht.
http://www.trojaner-board.de/showthread.php?t=12154
http://www.virustotal.com/en/indexx.html
und es gibt HijackThis, aber ich muss da selber erst suchen
Hallo Tom Rabe,
... Es handelt sich bei mir wahrscheinlich um der mit den gefälschten 1und1-Rechnungen verschickten Trojanern. ...
Woraus schließen Sie das? Gibt es weitere Hinweise auf einen Trojaner? Ich bin nicht sicher, dass der beschriebene Fehler durch einen Trojaner verursacht wird. Als Autor eines solchen würde ich so gut es geht dafür Sorge tragen, dass er möglichst unentdeckt bliebe. Einen so plumpen Hinweis gibt doch sicher niemand freiwillig und die beworbene Webseite wirkt zumindest auf den ersten Blick seriös.
Eine Neuinstallation des Rechners wird das Problem sicher lösen, aber vielleicht ist die ja gar nicht notwendig. Was haben Sie in letzter Zeit an Ihre Rechner verändert, was am TB (Erweiterungen? Themes? Signaturen? ...).
Der Profilordner des TB ist ein versteckter Ordner. Ihre Dateisuche hat daher möglicherweise das Profil nicht mit einbezogen.
Sagt Ihnen der Link auf completelyclassicalvinyl.com etwas? Haben Sie die Seite einmal besucht, sie jemandem per Mail empfohlen, ... ?
hi!
http://www.hijackthis.de/
da kannst du dein log online testen lassen.
Hallo Tom Rabe
Vielleicht ne dumme Frage: Was heißt "Keine Forenhilfe per PN?"
ganz einfach: manch einer denkt, wenn er mir für seine Fragen direkt eine PN (Persönliche Nachricht) sendet (mit dem Button direkt unter dem Hinweis), erhielte er schneller eine Rückantwort. Ich beantworte aber allgemeine Fragen generell nur im Forum
"Keine Forenhilfe per PN!
- weil sowohl Fragen als auch die Antworten für viele interessant sind und nur im Forum der Allgemeinheit zur Verfügung stehen
- weil ich das hier wie alle Anderen freiwillig und z. Teil sogar neben/während meiner Arbeit mache, unbezahlt und auf Basis "User helfen Usern", da kann es auch mal sein, dass ich 1-2 Tage keine Zeit/Lust/Laune habe und dann würdest Du vergebens warten
- ich auch nur auf meinen Erfahrungsschatz zurückgreifen kann und Andere vielleicht bereits viel bessere Lösungen haben
usw...
Hallo
ich habe das gleich Problem - hast du mittlerweile eine Lösung gefunden? bitte genau erklären, da ich nicht soviel Ahnung habe.
Danke
Gruss NINA :shock:
mein log file.
Logfile of HijackThis v1.99.1
Scan saved at 18:33:31, on 29.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~2\THUNDE~1.EXE
C:\Programme\iTunes\iTunes.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\McAfee.com\VSO\oasclnt.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
C:\Programme\McAfee.com\VSO\mcvsshld.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\Drucker\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\mcafee.com\mps\mscifapp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Drucker\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\PhraseExpress\phraseexpress.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Drucker\HP\Digital Imaging\bin\hpqgalry.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Java\jre1.5.0_08\bin\jucheck.exe
C:\DOKUME~1\Nina\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\programme\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\programme\mcafee.com\mps\popupkiller.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - °$ê - (no file)
O2 - BHO: (no name) - €$ê - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\PROGRA~1\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [OASClnt] C:\Programme\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\PROGRA~1\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Programme\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Drucker\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MPSExe] c:\PROGRA~1\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: PhraseExpress.lnk = C:\Programme\PhraseExpress\phraseexpress.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Drucker\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\Drucker\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\http://EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\programme\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra 'Tools' menuitem: Artikel überwachen - {711E941A-59B6-45E0-8F3B-3DA9738242D2} - C:\Programme\etope\global\vbs\sendtowatch.vbs
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/…01/mcinsctl.cab
O16 - DPF: {5F0C30E4-1E72-4DCC-85E5-57810F1CA97B} (McUpdatePortalFactory Class) - http://amiuptodate.mcafee.com/vsc/bin/2,0,0,0/McUpdatePortal.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc…950/mcfscan.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
kann daran jemand was erkennen?
Hallo Nina,
es wäre hilfreich, nur in einem Thread zu posten, sonst sucht man Deine Antworten ständig....
=> https://www.thunderbird-mail.de/forum/viewtopi…5155&highlight=
Danke.
Hallo kobango,
Das Log-File ist bei
http://forum.hijackthis.de/forumdisplay.php?f=12
wohl besser aufgehoben. Mein Rat, wenn das System noch zum erstellen eines Backups benötigt wird, es zunächst einmal von einem sauberen System aus zu scannen. Entweder du hast in der Vergangenheit dir mal ein PE-Builder gebastelt, oder du lädst dir ein ca. 60 MB großes OpenSource-System herunter - Insert http://www.inside-security.de/INSERT.html
dieses ISO-Image brennst du auf eine CD und von der bootest du dann. Mit hilfe der CD und einem Internetzugang (für die Virendefinitionen) kannst du dann dein System erst mal "grundreinigen" Auf einem verseuchten System würde ich dagegen keinen Virenscann mehr machen. Die Alternative wäre Komplett-Backup (dann hätte der Virus die Möglichkeit alle Dateien zu infizieren) und anschließendes Scannen nach Neuaufsetzen des Systems.
schöne Grüße
Toolman
Das verstehe ich *wirklich* nicht! Shock ~ Warum?
Von welchem Virus sprichst Du genau? Welcher Schädling infiziert bei einem BackUp alle Dateien?
... sorry das ist Unsinn! (oder verstehe ich Dich da *komplett* falsch?)
Hallo Vic~,
nun wenn der Virus im Speicher ist, versucht er jede Datei die "angefasst" wird zu infizieren. Damit wäre ein Virusscan mit einem kompromittiertem System Unsinn. Ebenso ein Backup das auf diesem System gestartet wird.
Daher sollte man so etwas von einem sauberen System starten um nicht noch mehr Schaden anzurichten. Ich habe das selbst schon mal bei einem Bekannten gesehen - nach dem Virus scann waren fast alle ausführbaren Dateien infiziert!
In der Regel versucht ein Virus so lange wie möglich unentdeckt zu bleiben und greift nicht von sich aus auf nicht im Zugriff befindliche Dateien zu (OK, es gibt auch hier natürlich Ausnahmen).
schöne Grüße
Toolman
Toolman,
jetzt habe ich aber auch eine Frage dazu. Ich mache meine Images meistens
dann, wenn Windows noch nicht mal aufgerufen worden ist. Weiß nicht wie man das bei WinXP nennt (früher sagt man DOS-Modus), jedenfalls noch davor.
In der Annahme mit "Speicher" meinst du den internen Speicher und nicht die HD, würde ich sagen, zu dem Zeitpunkt ist mit Sicherheit kein Virus im Speicher.
Sehe ich das richtig?
Gruß
mrb,
genau, ein Virus der resident im Speicher sitzt. In dem Fall wird u.U. jede Datei die von der Platte gelesen oder geschrieben wird, mit dem Virus verseucht. Natürlich machen das nicht alle Viren so.
Ja solche Schädlinge gibt es! Ich denke hier - in diesem Fall - liegt aber ein anderes Problem vor!
Aber man kann ja nie wissen, was dieser Trojaner so alles im Hintergrund nachgeladen hat. Z.B. ein Rootkit , das sich nur schwer entdecken lässt.
jetzt habe ich aber auch eine Frage dazu. Ich mache meine Images meistens
dann, wenn Windows noch nicht mal aufgerufen worden ist. Weiß nicht wie man das bei WinXP nennt (früher sagt man DOS-Modus), jedenfalls noch davor.
in diesem Fall wäre das Virus ja inaktiv - damit kannst du das Image gefahrlos machen. Vorausgesetzt die verwendete Bootdiskette ist virenfrei...
Beim Dos-Modus in W98 sieht das aber anders aus - hier kann sich der Virus auch in dieser Umgebung eingenistet haben.
Daher sollte man sich solche Notfall-CD's (insert oder Knoppichillin) vorrätig halten um im Bedarfsfall von einem Sauberen und nicht-kompromittiertem System auf Virenjagd zu gehen.
schöne Grüße
Toolman
