Großes Problem

Dieses Thema im Forum "Sicherheit" wurde erstellt von Nitro.berlin, 6. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Nitro.berlin

    Nitro.berlin Byte

    Registriert seit:
    8. November 2003
    Beiträge:
    13
    Hallo,
    Ich habe ein großes problem, und habe angst das ich irgentetwas falsch gemacht habe!
    Also es fing so an, ich ging an meinen rechner und öffnete meinen inet explorer, als da dann eine seite kahm die ich eigentlich nicht als startseite eingerichtet habe, als Adresse stand oben about:blank
    und es sah so aus als würde es eine suchmaschienen seite sein!
    Ok, dann kahm aber so ein Pop up fenster wo dann ALERT!!!!!
    SPYWARE ACTIVITY DETECTED ON YOUR COMPUTER drinnen stand!! :(
    Ich habe es gleich mal mit Spybot versucht, ob er was findet.
    Er hatte nur diese eine sache gefunden die winlogon hieß, ich habe versucht sie zu löschen, als ich dann aber nochmal überprüfen wollte hat er wieder diese selbe datei gefunden :confused:
    Tja Antivir habe ich auch durchlaufen lassen, aber der fand nichts!!
    Und jetzt passiert immer wenn ich mein inet explorer öffne immer das selbe!!!
    Ich habe auch keine lust nen format zu machen!!!!
    Ich hoffe mir kann jemand helfen, ich würde mich auf antworten sehr freuen, da mir das prob echt angst macht!!!!

    Danke im vorraus :)
     
  2. Nitro.berlin

    Nitro.berlin Byte

    Registriert seit:
    8. November 2003
    Beiträge:
    13
    Erstmal ein GROßES DANKESCHÖN an euch!!!!!!!!!!!:)
    Also hab die datei C:\WINDOWS\m.dll gelöscht, und kann jetzt meine startseite wieder einrichten, ohne das diese meldung kommt. :)
    So zu der datei winlogon.exe (ich hoffe das war keine wichtige:confused: ) aber ich hab nach den anweisungen von Wolfgang77 die datei im c:\windows\winlogon.exe gelöscht, da er meinte:
    "schaue mal nach in welchem Verzeichnis die winlogon.exe liegt. Wenn sie unter c:\windows liegt ist es vermutlich der Wurm Win32.NetSky.D"
    Also dachte ich, ich hatte diesen Win32.NetSky.D!!!

    Trotzdem nochmal ein ganz großes danke, ohne euch hätte ich das nie geschafft!!!!
    DANKE
     
  3. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @nitro.berlin

    da dir der "C:\Programme\SpyKiller\spykiller.exe /startup" nicht geholfen hatte gegen änderungen der startseite und vorherige infektionen könntest du ja das mal probieren.
    SpyProtector.für.Security.Task.Manager.v1.5
    das tool fragt bei jeder unberechtigten registry-änderung von "startseite" und "autorun-programme " ab , ob dies zugelassen werden darf.
     
  4. Gast

    Gast Guest

  5. Gast

    Gast Guest

    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Hoffnungslos veraltet. Unbedingt patchen!

    R1/R0 fixen und nach dieser Datei suchen, um sie zu löschen:
    C:\WINDOWS\m.dll

    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

    Weg.

    O2 - BHO: (no name) - {DCBB70AE-7FEB-45EC-B757-8CF6A9607DE2} - C:\WINDOWS\m.dll

    Da ist ja der Hijacker! Weg.

    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll

    Weg.

    O4 - HKCU\..\Run: [SmartBarXP] C:\Programme\SmartBarXP BETA4.4\SmartBar XP.exe

    Ist das gewollt?

    O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup

    Hat wohl nicht funktioniert.

    Edit:
    Die bwusste opinstall_gr_4.1.14.0.cab stammt von einem Marktbeobachtungsprogramm OpiStat.
     
  6. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
  7. Nitro.berlin

    Nitro.berlin Byte

    Registriert seit:
    8. November 2003
    Beiträge:
    13
    So hab das mal gemacht was du mir geschrieben hast (Nochmals vielen Dank)

    Logfile of HijackThis v1.97.7
    Scan saved at 15:01:16, on 06.05.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    C:\Programme\AVPersonal\AVGNT.EXE
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\TGTSoft\StyleXP\StyleXP.exe
    C:\Programme\MSN Messenger\MsnMsgr.Exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\Programme\OCRANA-IRC\OCRANA-IRC.exe
    C:\Programme\teamspeak2_RC2\TeamSpeak.exe
    C:\Programme\Outlook Express\msimn.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Dokumente und Einstellungen\Nitro.Berlin\Eigene Dateien\Downloads\hijackthis1977\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\m.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: (no name) - {DCBB70AE-7FEB-45EC-B757-8CF6A9607DE2} - C:\WINDOWS\m.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [SmartBarXP] C:\Programme\SmartBarXP BETA4.4\SmartBar XP.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
    O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
    O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
    O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: ICQ 4.0 (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
    O16 - DPF: {92CA8ACC-4E99-4A2A-93F1-B2C5CADC8613} (OPInstall Control) - http://a14.g.akamai.net/f/14/7141/1...com/opistat/activex/opinstall_gr_4.1.14.0.cab
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CBBFCA71-4547-4B27-ACB8-EE090D4EDD4D}: NameServer = 212.185.252.201,194.25.2.129
     
  8. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    könnte man mit "HiJachThis" versuchen zu erfahren was das ist:

    http://hjt.klaffke.de/

    da gibt es den Downloadlink, mit dem kleinen Programm scannen und die Log-Datei hier posten.

    Grüße
    Wolfgang
     
  9. Nitro.berlin

    Nitro.berlin Byte

    Registriert seit:
    8. November 2003
    Beiträge:
    13
    hm ...... also hab die nacht nochmal rumprobiert, und hab meinen PC im abgesicherten Modus hochgefahren.
    Ich konnte dieses winlogon.exe löschen. Jetzt wird die datei auch nicht mehr beim starten ausgeführt. Damit hätte ich jetzt ein prob. beseitigt.
    Aber ich bekomme immernoch dieses pop up fenster mit dieser spyware meldung :(
    da weiß ich nun leider nicht mehr was ich dagegen tun soll :confused:
    Ich bitte um antworten
    Danke
     
  10. Nitro.berlin

    Nitro.berlin Byte

    Registriert seit:
    8. November 2003
    Beiträge:
    13
    Erstmal Danke für die antwort!!!!!!!
    Also ich hab des mal probiert den winlogon.exe im Taskmanager zu beenden, aber es komm eine Fehlermeldeung: "Der Task-Manager konnte diesen kritischen Systemprozess nicht beenden."
    und bei mir ist die datei bei C:\WINDOWS :(
    was kann ich denn jetzt gegen diesen Wurm Win32.NetSky.D tun???
    Nochmals Danke im vorraus
     
  11. Wolfgang77

    Wolfgang77 Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2002
    Beiträge:
    20.804
    Hallo,

    schaue mal nach in welchem Verzeichnis die winlogon.exe liegt. Wenn sie unter c:\windows liegt ist es vermutlich der Wurm Win32.NetSky.D
    Da hast du wohl eine verseuchte Email bzw. deren Anhang geöffnet.

    Im Verzeichnis c:\Windows\system32 liegt die echte, die bitte nicht löschen.

    BitDefender Virus-Info:

    When the user double-clicks the e-mail attachment, the worm does the following:

    - copies itself to Windows directory (%WINDIR%) as "winlogon.exe"

    - adds the following entry to
    "HKLM\Software\Microsoft\Windows\CurrentVersion\Run"
    registry key:
    "ICQ net" = "winlogon.exe -stealth",

    (so it will be executed each time Windows starts up);

    Versuche den Prozess "winlogon.exe" im Taskmanager zu beenden, dann die Datei löschen und den
    Autostarteintrag in der Registry löschen.

    Grüße
    Wolfgang
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen