Habe Active-X aktiviert und nun "Spyware-Infection"!??

Dieses Thema im Forum "Sicherheit" wurde erstellt von thecreators, 27. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
    Hallo Experten des Spams,

    hab ein "Hammer-Problem"!

    War wieder mal auf den unsicheren Seiten unterwegs und hab dabei ungewollt Active-X installiert oder zugelassen - keine Ahnung!
    Auf jeden Fall, hatte ich dann ziemlich viel Viren, Trojana, Spyware usw. auf meinem Rechner!
    Also gut sagte ich mir: AntiVir-Scan-Lauf als 1. dann machste Ad-aware und zu guter letzt noch Shredder!
    Es sind leider aber immer noch Reste von diesem einem Ausrutscher auf meiner Kiste! Könnt Ihr mir noch ein paar hilfreiche Tools nennen?? Am besten Free-Ware!

    Ach ja, und immer wieder kommt so ein komischer "System error:..." - siehe Anhang für Screenshot- dabei werde ich dann auf eine Seite mit Freeware weitergeleitet. Und achtet auch mal auf die zwei Ausrufezeichen (es erfolgt die selbe Weiterleitung wie oben bei Error) rechts unten in der Taskleiste! :confused:

    Schon mal 10000x Dank!
     

    Anhänge:

  2. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
  3. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.634
    Ich denke, dass du nicht ums Neuaufsetzen herum kommst.
    Zur Zeit ist es gefährlich sich mit dem IE auf unsicheren Seiten herumzutreiben. Der FF hat zwar auch noch Lücken, die sind aber nicht so gefährlich, da sie nicht ohne Interaktion des Users ausgenutzt werden können und kein ActiveX unterstützt wird.

    Hier kannst du Weiteres erfahren.
     
  4. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21

    Und du glaubst es gibt keine andere "nicht so harte" Methode??? Das kann doch nicht sein oder??? :eek:
     
  5. whisky

    whisky Ganzes Gigabyte

    Registriert seit:
    1. Oktober 2001
    Beiträge:
    11.014
    Was hast du gegen meinen Link Tipp?
     
  6. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    hängt davon ab was genau du hast. Das sicherste wäre Neuaufsetzen allemal.
    Poste mal ein HijackThis Log wie hier beschrieben.

    Außerdem löschst du mal deine Temp Dateien mit Cleanup! und poste danach die vier Logfiles der Datfind.bat, aber nur die Dateien des letzten Monats abkopieren!


    Grüße Jasager
     
  7. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
    @jasager

    also habe als ersters clean up gemacht... erstaunlich, aber es wurden 1,8 gb freigesetzt... danke dafür. jedoch besteht noch immer das problem... war aber wohl klar! :)

    als nächstes hijackthis: hier der Linkhttp://www.hijackthis.de/logfiles/0c5ec3893d7667479ecde16a62c3f8ef.html

    und jetzt noch die komischen datfindbat - und ich dachte ich kenne mich mit meinem rechner ein wenig aus :confused: :

    Verzeichnis von C:\WINDOWS\system32

    27.04.2006 17:29 40.128 perfc009.dat
    27.04.2006 17:29 311.740 perfh009.dat
    27.04.2006 17:29 48.354 perfc007.dat
    27.04.2006 17:29 316.924 perfh007.dat
    27.04.2006 17:29 723.744 PerfStringBackup.INI
    27.04.2006 17:10 8.192 udpmod.dll
    27.04.2006 17:10 8.192 questmod.dll
    27.04.2006 17:10 8.192 jao.dll
    27.04.2006 17:10 8.192 txfdb32.dll
    27.04.2006 17:10 8.192 wstart.dll
    27.04.2006 17:10 8.192 tcpservice2.exe
    27.04.2006 16:21 8.192 CWS_iestart.exe
    27.04.2006 16:21 8.192 mirarsearch_toolbar.exe
    27.04.2006 16:03 0 wupdmgr.tmp
    27.04.2006 15:58 16.896 winapi32.dll
    27.04.2006 15:58 71.172 winsrv32.exe
    27.04.2006 15:58 8.708 shell386.exe
    27.04.2006 15:45 51.203 parad.raw.exe
    27.04.2006 15:45 51.203 taskdir.exe
    27.04.2006 15:44 11.249 azebar.xml
    22.04.2006 08:22 126.112 FNTCACHE.DAT
    12.04.2006 01:33 2.206 wpa.dbl
    18.01.2006 14:05 57.344 avsda.dll

    Verzeichnis von C:\Temp

    23.01.2006 15:36 429 datFind.bat
    1 Datei(en) 429 Bytes
    0 Verzeichnis(se), 70.936.952.832 Bytes frei

    Verzeichnis von C:\WINDOWS

    27.04.2006 19:03 0 0.log
    27.04.2006 19:03 159 wiadebug.log
    27.04.2006 19:03 1.274.749 WindowsUpdate.log
    27.04.2006 19:03 50 wiaservc.log
    27.04.2006 19:03 2.048 bootstat.dat
    27.04.2006 18:18 32.622 SchedLgU.Txt
    27.04.2006 17:24 702 win.ini
    27.04.2006 17:24 246 system.ini
    27.04.2006 17:10 8.192 dlmax.dll
    27.04.2006 17:10 8.192 Pynix.dll
    27.04.2006 17:10 8.192 BTGrab.dll
    27.04.2006 17:10 8.192 susp.exe
    27.04.2006 17:10 8.192 alxtb1.dll
    27.04.2006 17:10 8.192 alxie328.dll
    27.04.2006 17:10 8.192 alexaie.dll
    27.04.2006 16:03 145.920 rfscanax.dll
    27.04.2006 15:58 10.809 win-sec-center-logo.gif
    27.04.2006 15:58 1.014 warning-bar-ico.gif
    27.04.2006 15:58 6.575 remove-spyware-btn.gif
    27.04.2006 15:58 64 close-bar.gif
    27.04.2006 15:58 177 blue-bg.gif
    27.04.2006 15:45 711.711 setupapi.log
    27.04.2006 15:45 6.165 sc.exe
    27.04.2006 15:45 5.561 loadadv728.exe
    27.04.2006 15:45 292 form.js
    27.04.2006 15:45 12.344 azesearch.bmp
    27.04.2006 15:23 202 NeroDigital.ini
    26.04.2006 18:54 5.989 mozver.dat
    21.04.2006 10:47 123.448 wmsetup.log

    Verzeichnis von C:\

    27.04.2006 20:20 0 sys.txt
    27.04.2006 20:19 9.933 system.txt
    27.04.2006 20:19 268 systemtemp.txt
    27.04.2006 20:19 100.703 system32.txt
    27.04.2006 19:03 805.306.368 pagefile.sys
    27.04.2006 17:24 211 boot.ini
    27.04.2006 15:45 0 uniq
    11.03.2006 17:35 51.191 EyeCandyLog.txt
    15.01.2006 12:01 1.119 INSTALL.LOG
    29.07.2005 15:55 294 boot2.ini
    29.07.2005 15:49 0 CONFIG.SYS
    29.07.2005 15:49 0 IO.SYS
    29.07.2005 15:49 0 AUTOEXEC.BAT
    29.07.2005 15:49 0 MSDOS.SYS
    03.08.2004 23:00 262.448 cmldr
    03.08.2004 22:59 251.184 ntldr
    03.08.2004 22:38 47.564 NTDETECT.COM
    23.08.2001 14:00 4.952 bootfont.bin
    10.01.2001 13:23 162.304 UNWISE.EXE

    was ich komisch finde, die großen zeitsprünge!?
    ich hoffe so hast du dir das vorgestellt denn :bahnhof: !!!

    auf jeden fall schon mal thx @ jasager!

    @whiskey: tut mir leid, aber dein kurzer post war mir nicht ganz klar!
     
  8. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    sieht nicht gut aus, überprüfe mal folgende Dateien(alle im Windowsordner) hier und poste die jeweiligen ergebnisse:

    wupdmgr.exe (vorher Prozess beenden)
    osaupd.exe (vorher Prozess beenden)
    susp.exe
    sc.exe
    loadadv728.exe

    Grüße Jasager
     
  9. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
    so, hab jetzt das mal gemacht wie du gesagt hast:

    die ersten .exe-dateien ergaben nichts.
    bis auf die letzte (loadadv728.exe); nachdem ich diese ausführe meldet antivir mehrere funde z.b.: TR/Bramas.B; TR/Bramas.B; WORM/Mytob.1.Gen; TR/Dldr.Multi.B.4.A; TR/Dldr.Tiny.CE; TR/Click.Small.KR; TR/Dldr.Multi.B.4.C; BDS/Afcore.cb.2.B usw.
    Hab die jetzt alle mal mit Hilfe von AntiVir gelöscht! hoffe die sind jetzt weg!?

    Wie geht es jetzt weiter?? :confused:

    danke jasager, ohne dich wär ich wohl noch immer bei adaware..:aua:
     
  10. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    ehrlich gesagt verstehe ich dein Problem nicht so ganz, die Dateien sind doch alphabetisch geordnet (wenn nicht, im Explorer im Windowsordner auf Name klicken), so findet man doch die Dateien ganz einfach.
    Bei virustotal gehst du auf "durchsuchen" wählst die betreffende Datei aus, klickst auf send, und postest dann das Ergebnis.

    Überprüfe übrigens zusätzlich zu den oben genannten Dateien auch noch:
    C:\Windows\System32\winapi32.dll
    C:\Windows\System32\winsrv32.exe


    Achja, und lösche erstmal auf keinen Fall etwas.

    Grüße Jasager
     
  11. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
  12. Jasager

    Jasager Viertel Gigabyte

    Registriert seit:
    6. Dezember 2004
    Beiträge:
    2.642
    Hallo,
    also ich würde dir wirklich raten das System neu aufzusetzen, da sind einfach zuviele infizierte Dateien auf deinem System. Und bei der susp.exe wird es sich sehr wahrscheinlich um einen neuen Trojaner handeln der von den AVs zur Zeit noch nicht erkannt wird, und der ist gleich in fünfzehnfacher Ausführung auf deinem System:

    27.04.2006 17:10 8.192 udpmod.dll
    27.04.2006 17:10 8.192 questmod.dll
    27.04.2006 17:10 8.192 jao.dll
    27.04.2006 17:10 8.192 txfdb32.dll
    27.04.2006 17:10 8.192 wstart.dll
    27.04.2006 17:10 8.192 tcpservice2.exe
    27.04.2006 16:21 8.192 CWS_iestart.exe
    27.04.2006 16:21 8.192 mirarsearch_toolbar.exe
    27.04.2006 17:10 8.192 dlmax.dll
    27.04.2006 17:10 8.192 Pynix.dll
    27.04.2006 17:10 8.192 BTGrab.dll
    27.04.2006 17:10 8.192 susp.exe
    27.04.2006 17:10 8.192 alxtb1.dll
    27.04.2006 17:10 8.192 alxie328.dll
    27.04.2006 17:10 8.192 alexaie.dll

    (zu erkennen daran das sie alle gleich groß sind)
    Bei so einem Durchseuchungsgrad solltest du das System nach dieser Anleitung neu aufsetzen und nie wieder solche Seiten besuchen!

    Wenn du noch eine gute Tat vollbringen willst kannst du mal eine der oben genannten Dateien an samples@sophos.com und newvirus@kaspersky.com schicken (Mit Passwort gepackt, welches du dann natürlich in die Mail rein schreibst). Die antworten könntest du dann noch mal hier posten, würde mich nämlich auch interessieren was das genau war.


    Grüße Jasager
     
  13. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
    Ok, sobald ich die ergebnisse habe post ich sie!
    auf jeden fall noch mal herzlichsten dank!! :bet:

    Für mich hat ein bekanntest Zitat wieder neue an Bedeutung gewonnen: Gestern standen wir einen Schritt vorm Abrgrund - heute sind wir zwei Schritte weiter!

    Aber gut, wer nun mal einfach so Sicherheitshinweise nicht ernst nimmt muss mal eine drauf bekommen! :aua:
     
  14. thecreators

    thecreators Byte

    Registriert seit:
    9. August 2005
    Beiträge:
    21
    @ jasager: das ist die auswertung von Sophos:
    Hi,

    Thank you for your email. The file you sent for analysis is a corrupt
    file the entry point is beyond the end of file. As such it will not
    execute and is therefore not detected by Sophos.

    If you have any further questions please do not hesitate to contact
    me.

    Das andere Resultat war irgendwie in Russisch oder so... ich hab da nix verstanden! Was sagst du dazu?
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen