Dedies-Board (https://www.dedies-board.de/wbb2/index.php)
- Sicherheit (https://www.dedies-board.de/wbb2/board.php?boardid=6)
-- Anti-Virenboard (https://www.dedies-board.de/wbb2/board.php?boardid=8)
--- Hilfe Trojaner (https://www.dedies-board.de/wbb2/thread.php?threadid=556)

Geschrieben von ego am 22.06.2005 um 23:56:

  Hilfe Trojaner

Hilfe Trojaner. Bei mir auf dem Desktop steht:




Security warning
A fatal error in IE occured at 0028:C0011E36 in VXD VMM(01) ,
0010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.c

* System can not Function in normal mode.
Pleas check you security settings.

* Scan your PC with any avaliable antivirus / spyware remower
program to fix the problem




Hier noch mein escan
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 13 14:53:49 2005 => File C:\DOKUME~1\ego\LOKALE~1\TEMPOR~1\Content.IE5\O9I3CXI3\winupdate23832521[1]
.exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
Fri May 13 15:02:47 2005 => File C:\Dokumente und Einstellungen\ego\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar
\count.jar-6699b1e6-28a0e6a6.zip infected by "Trojan-Downloader.Java.OpenConnection.aa" Virus. Action Taken: No Action Taken.
Fri May 13 15:14:53 2005 => File C:\Dokumente und Einstellungen\ego\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9I3CXI3\winupdate23832521[1].exe infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
Fri May 13 15:24:10 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri May 13 15:47:00 2005 => Scanning Folder: D:\Antivir\INFECTED\*.*
Fri May 13 15:47:01 2005 => File D:\Ares\setup_ares.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.
Fri May 13 16:10:48 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri May 13 16:10:48 2005 => Total Virus(es) Found: 4
Fri May 13 16:10:48 2005 => Total Errors: 26
Fri May 13 16:10:48 2005 => Time Elapsed: 01:32:39
Fri May 13 16:10:48 2005 => Total Objects Scanned: 107583
Fri May 13 14:37:03 2005 => Virus Database Date: 2005/05/13
Fri May 13 16:10:48 2005 => Virus Database Date: 2005/05/13
Fri May 13 18:28:12 2005 => Virus Database Date: 2005/05/13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Geschrieben von dedie am 23.06.2005 um 00:18:

 

Temporary/internet Files/ und den Browsercache leeren , Systemwiederherstellung deaktivieren und den Rechner neustarten.

Anschließend mal ein Logfile mit HijackThis erstellen und hier posten.


Geschrieben von Haui am 23.06.2005 um 00:39:

 

Hallo,

wahrscheinlich dürfte dir diese Anleitung weiterhelfen.


Geschrieben von dedie am 23.06.2005 um 01:31:

 

Mach mal was "Haui" geposted hat, ich hab heute morgen die Brille noch nicht auf gehabt und mich am e-scan Prottokoll festgebissen. smile


Geschrieben von ego am 23.06.2005 um 09:21:

 

Sorry
der escan den ich geschickt hatte war falsch ich hatte den mwaw.log nicht gelöscht jetzt kommt der richtige:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jun 23 00:35:30 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Thu Jun 23 00:56:08 2005 => Scanning Folder: D:\Antivir\INFECTED\*.*
Thu Jun 23 00:56:43 2005 => File D:\Ares\setup_ares.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.
Thu Jun 23 01:18:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Jun 23 01:18:12 2005 => Total Virus(es) Found: 1
Thu Jun 23 01:18:12 2005 => Total Errors: 28
Thu Jun 23 01:18:12 2005 => Time Elapsed: 00:48:53
Thu Jun 23 01:18:12 2005 => Total Objects Scanned: 63236
Thu Jun 23 00:28:25 2005 => Virus Database Date: 2005/05/13
Thu Jun 23 01:18:12 2005 => Virus Database Date: 2005/05/13
Thu Jun 23 02:12:08 2005 => Virus Database Date: 2005/05/13
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Geschrieben von ego am 23.06.2005 um 18:12:

 

Ich habe das gemacht was in der Anleitung steht aber es steht immer noch das gleiche im Desktop hintergrund, und ich kann den hintergrund auch nicht ändern. Ich hatte noch problemme als ich die dateien mit killbox gelöscht hate wollte der Rechner von allein nicht neu starten. Hast du vieleicht noch ein paaar tips


Geschrieben von dedie am 23.06.2005 um 18:35:

 

Erstell mal einen Logfile mit HijackThis und poste ihn hier in den Thread.


Geschrieben von deoroller am 23.06.2005 um 21:54:

 

Das mwaw.log sieht gut aus.
Es scheint so, als ob noch nichts nachgeladen, bzw. aktiviert worden ist.
Aber das zeigt erst das HJT-Log.
Spybot und oder Adawre müssten die Registry wieder sauber bekommne.
Das System ist doch hoffentlich aktuell gepatched und unnötige Dienste beendet. Im Trojaner-Bpard hatte sich einer die Malware über eine noch nicht gepatchte Sicherheitslücke eingefangen. Zusätzlich hat er zufällig Augen rollen seine Personal Firewall nicht aktiviert. Das lässt tief blicken.
http://www.trojaner-board.de/showthread.php?t=17462


Geschrieben von Vimes am 23.06.2005 um 22:28:

 

Zitat:
Original von deoroller
Das lässt tief blicken.


Ja, auf sein Patchverhalten. Augen rollen SP1 ist nun wirklich unter alle Kanone. Außerdem will mir nicht in den Kopf, warum kaum einer den Paketfilter benutzen will, der bei XP nun einmal eingebaut ist. Ach ja, ich vergaß, MS ist ja nicht vertrauenswürdig, also nutze ich nur deren OS, schon klar... großes Grinsen

MfG
Vimes


Geschrieben von ego am 24.06.2005 um 00:15:

 

Hier ist mein logfile

Logfile of HijackThis v1.99.1
Scan saved at 00:16:07, on 24.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\dicad\strauti\numplus.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NumPlus.lnk = C:\dicad\strauti\numplus.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE


Geschrieben von ego am 24.06.2005 um 00:19:

großes Grinsen

Ich weiß leider nicht was du meinst ob mein system gepatched ist und ob alle unnötigen Dienste beendet sind bin noch ein grünschnabel Petzauge . Meine Firewall war aber nicht ausgeschalltet


Geschrieben von Vimes am 24.06.2005 um 10:50:

 

@ego:

Sorry, ich meinte den User "Spain" aus dem Trojanerboard. Der hatte noch SP1.

Nutze die Chance, daß Du hier bist, und lerne, wie das System sicher wird! So wie Du haben wir alle (ich auf jeden Fall) angefangen. Ich dachte mal, ZoneAlarm wäre der Weisheit letzter Schluß...

MfG
Vimes


Geschrieben von dedie am 24.06.2005 um 11:26:

 

hmh Ich finde in dem Logfile nix besorgnis erregendes, scanne mal deinen Rechner mit Ad-aware und Spybot dann wirst du auch den Eintrag "NavExcel" los.
Wenn das Fenster dann immer noch erscheinen sollte müssen wir mal an die Registry ran, ich vermute das die Bilddatei da eingetragen wurde.


Geschrieben von ego am 24.06.2005 um 14:22:

 

ich danke euch, ich weiß zwar nicht wie es gklappt hat aber ich kann meinen desktop hintergrund jetzt wieder änder.
Aber ich habe noch eine frage ich habe nach eurer anleitung jetzt einige sachen geändert :
(Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK")

Muß ich dort jetzt etwas zürücksetzen oder las ich das so.


Geschrieben von dedie am 24.06.2005 um 14:36:

 

Das kannst du so lassen, da durch wird der Normale Rechnerbetrieb nicht beeinflusst yes


Geschrieben von Bishop am 24.06.2005 um 15:40:

 

Und in Anlehnung an Vimes, sollte man die Tutorials lesen, insbesondere:

Sicherheitskonzept für Einzelplatzrechner

Gruß