Hilfe! Trojaner übernehmen meinen PC!

Dieses Thema im Forum "Sicherheit" wurde erstellt von h_klein, 7. September 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Hallo,

    mit DSL geht alles schneller... offenbar auch das einfangen von Viren, Würmern, Trojanern & CO

    Ich habe mir etwas eingefangen, das weder von "AntiVir PE 6.27" noch von "AdAware SE 1.04" noch "Spybot S&D 1.3" vollständig beseitigt wird. Die genannten Programme finden ettliche Trojaner, nach einem Neustart und einem Klick ins Internet wird aber trotz "Startpage=about:blank", "Pop-Up Stopper 2.8" und "Zone Alarm 4.5" ein Pop-Up-Fenster geöffnet und der ganze Mist wieder runtergeladen.

    Mit Start-Up habe ich schon haufenweise Einträge aus dem Startmenue gelöscht, die aber nach einem Internetbesuch immer wieder vereinzelt auftauchen:

    ADDZU.EXE - C:\WINDOWS\ADDZU.EXE
    D3GY.EXE - C:\WINDOWS\SYSTEM\D3GY.EXE
    D3HM32.EXE - C:\WINDOWS\D3HM32.EXE
    Internet Optimizer - C:\Internet Optimizer\optimize.exe
    IST Service - C:\Programme\ISTsvc\istsvc.exe
    JAVACL32.EXE - C:\WINDOWS\JAVACL32.EXE
    msbb - c:\programme\180solutions\msbb.exe
    NETIJ.EXE - C:\WINDOWS\SYSTEM\NETIJ.EXE
    NETSX.EXE - C:\WINDOWS\NETSX.EXE
    NTJU.EXE - C:\WINDOWS\SYSTEM\NTJU.EXE
    rcizjict - C:\WINDOWS\SYSTEM\zufeor.exe
    SDKKA32.EXE - C:\WINDOWS\SYSTEM\SDKKA32.EXE
    SDKMJ.EXE - C:\WINDOWS\SYSTEM\SDKMJ.EXE
    SYSML.EXE - C:\WINDOWS\SYSML.EXE
    Ueou - C:\WINDOWS\Anwendungsdaten\rrop.exe
    Ypr - C:\WINDOWS\SYSTEM\pfhni.exe


    Mit Google habe ich schon nach den Programmen gesucht aber nicht alle gefunden und den Hauptverursacher, der den Müll immer wieder neulädt, leider auch nicht.

    Ist euch vielleicht etwas bekannt und wie kann ich meinen PC ohne eine Neuinstallation vor dem Sch**ss schützen?
     
  2. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Wär jetz super wenn du uns mitteilen würdest welche. :rolleyes:
    Und Angaben zum OS wärn auch toll.


    Sinds denn wirklich Trojaner? Die aufgelisteten Dateien lassen eher auf Adware und Spyware schließen.


    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis (nach der Auswertung ganz unten auf der Seite) kannst du hier reinsetzen, dann nehm ich mir das Log auch mal vor, die automatische Auswertung ist nämlich nicht perfekt.
     
  3. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Hey Doctor,

    danke für die schnelle Antwort, das werde ich heute abend gleich mal in Angriff nehmen :)

    Viele Grüsse
    h_klein
     
  4. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Hallo Doctor,

    das Proggi HijackThis kannte ich noch nicht und es hat mir etwas weitergeholfen:
    - es waren diverse Internetseiten in die "Vertrauenswürdige Seiten" eingetragen, die ich gleich gelöscht habe
    - ein Proggi namens "APPBL.EXE" war noch in meinem Windows-Verzeichnis, das wiederum bei der ersten Benutzung des Internets ein Proggi "MSGF32.EXE" geladen hat, das allerdings von ZoneAlarm geblockt wurde.

    Nach nochmaligen Scan von AdAware wurde dann der "Cool Web Search" gefunden

    Ich abeite unter WinME mit dem IE6 SP1 und DSL


    Hier der aktuelle Log:

    Logfile of HijackThis v1.98.2
    Scan saved at 00:03:11, on 08.09.2004
    Platform: Windows ME (Win9x 4.90.3000)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\SYSTEM\KERNEL32.DLL
    C:\WINDOWS\SYSTEM\MSGSRV32.EXE
    C:\WINDOWS\SYSTEM\mmtask.tsk
    C:\WINDOWS\SYSTEM\MPREXE.EXE
    C:\WINDOWS\SYSTEM\MSTASK.EXE
    C:\WINDOWS\SYSTEM\SSDPSRV.EXE
    C:\WINDOWS\SYSTEM\STIMON.EXE
    C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
    C:\WINDOWS\SYSTEM\RNAAPP.EXE
    C:\WINDOWS\SYSTEM\TAPISRV.EXE
    C:\WINDOWS\EXPLORER.EXE
    C:\WINDOWS\SYSTEM\SYSTRAY.EXE
    C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
    C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
    C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
    C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE
    C:\WINDOWS\RunDLL.exe
    C:\WINDOWS\SYSTEM\WMIEXE.EXE
    C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
    C:\PROGRAMME\ROXIO\DIRECTCD\DIRECTCD.EXE
    C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
    C:\WINDOWS\SYSTEM\DDHELP.EXE
    C:\PROGRAMME\WINZIP70\WINZIP32.EXE
    C:\WINDOWS\TEMP\HIJACKTHIS.EXE

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://192.168.1.1
    R3 - Default URLSearchHook is missing
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
    O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
    O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE"
    O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
    O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
    O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
    O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
    O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
    O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
    O4 - Startup: WinProvex Autostart.lnk = C:\Programme\WINPROV\AUTOCAL.EXE
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
    O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
    O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
    O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
    O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
     
  5. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo h_klein

    Diesen Eintrag bitte fixen:

    R3 - Default URLSearchHook is missing

    Diesen Einträge bitte mal überprüfen, ob sie dir irgendwas sagen:

    O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit

    O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm

    O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm

    O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm

    O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm

    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm

    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm

    O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm

    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm

    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm


    Falls nicht, dann ebenfalls fixen.

    Gruß
    Nevok
     
  6. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du hast es jetzt nicht definitiv gesagt, aber ich nehme an es läuft jetzt alles wieder normal?

    .
     
  7. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Hey danke!

    O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
    sind die Settings meiner NVIDA Grafikkarte

    O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
    O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
    O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
    O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
    O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
    O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
    O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm

    sind nützliche Kontexterweiterungen für den Interenet Explorer namens Web Accessories

    O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
    O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

    sind Kontexterweiterungen von dem GetRight-Downloadmanager

    Ich habe noch einen Tipp bekommen: escan
    den lasse ich gerade am befallenen Compi laufen und der hat bereits 2 DLL's entdeckt, die AntiVir nicht gefunden hat...

    :bse:
     
  8. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Escan hat noch 2 Dateien gefunden, die weder AntiVir noch SpyBot noch AdAware gefunden haben:

    Wed Sep 08 09:44:18 2004 => File C:\WINDOWS\SYSTEM\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: File Deleted.
    Wed Sep 08 09:41:43 2004 => File C:\WINDOWS\t3bT4K2.dll infected by "TrojanDownloader.Win32.Lemmy.q" Virus. Action Taken: File Deleted



    Wahnsinn, da braucht man:

    Virenscanner, Firewall, AdAware, SpyBot, CWShredder, HijackThis, Escan...
    um halbwegs sicher im Internet surfen zu können, nur weil ein paar Leuten langweilig ist? Vielleicht bringt mal einer ein Tool raus, dass den Authoren der Schädlingsprogrammen die E**r abfaulen lässt!!!
    :comprob:

    Viele Grüße und danke für eure Hilfe!
    h_klein
     
  9. Sudelede

    Sudelede Byte

    Registriert seit:
    2. April 2003
    Beiträge:
    69
    hallo h_klein
    Man braucht auch nur etwas Grips um ohne deinen genannten kram im Internet zu surfen
    Gruss sudelede
     
  10. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Was du aufzählst braucht man wenn das System erst befallen ist.



    Um es gar nicht soweit kommen zu lassen braucht man:

    - Den gesunden Menschenverstand (auch bekannt als Brain 2.0)
    - http://www.ntsvcfg.de/
    - Virenwächter.

    Und sonst nix.

    .
     
  11. Bischof

    Bischof Byte

    Registriert seit:
    17. April 2004
    Beiträge:
    119
    Virenwächter? - da gehen die Meinungen wohl auseinander.

    Was nützt ein Virenwächter, der vielleicht etwas erkennt? Von neuester Malware mal ganz zu schweigen.

    Der einzige Virenwächter der Sinn macht, ist der zwischen beiden Ohren.

    mfg
     
  12. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Stimmt. Aber:

    Der Virenwächter soll auch nicht vor Schädlingen aus dem Netz schützen, sondern vor den "alten" Gefahren, also der gebrannten CD vom Kumpel oder Dateiaustausch auf ner LAN.

    Heutzutage denkt man bei Viren, Würmern und Trojanern immer ans Internet, aber die können nach wie vor auch auf jeder CD, Diskette, USB-Stick lauern.

    Und da ist der Virenwächter als Schutz doch ganz sinnvoll, oder?


    .
     
  13. goemichel

    goemichel Halbes Gigabyte

    Registriert seit:
    12. November 2001
    Beiträge:
    5.890
    Was denn?? Schon wieder eine neue Version?? Ich dachte mit 1.5 wär ich aktuell!:rolleyes:

    bonk
     
  14. Bischof

    Bischof Byte

    Registriert seit:
    17. April 2004
    Beiträge:
    119
    Wie ich schon schrieb - da gehen die Meinungen eben auseinander.

    Um Fremddatenträger auf Viren zu scannen, brauchts nicht unbedingt einen Wächter. Und für den Dateiaustausch auf ner LAN gilt dasselbe wie fürs Internet - richtig konfigurieren und keine Viren und Würmer installieren.

    Ich will keinem seinen Wächter ausreden, nur man muß sich bewußt sein, daß das eben kein ausreichender Schutz ist. Thema Scheinsicherheit.

    mfg
     
  15. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Dass ein Wächter alleine ausreicht hab ich ja nicht gesagt. Er ist ein Baustein im Sicherheitskonzept, mehr nicht. Aber eben ein Baustein, den ich nicht missen möchte.


    Und ich will dir keinen einreden. ;)

    .
     
  16. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Das Problem ist, dass heute fast jeder Webseitenprogrammierer Java Scripting und ActiveX verwendet, wenn man die IE-Einstellungen nach den Sicherheitseinstellungen des Datenschutzzentrums vornimmt, dann wird keine Seite mehr g'scheit angezeigt.

    Das öffnet den Schädlingen natürlich die Türen...

    Aber durch en Befall habe ich in Bezug auf Schädlingsbekämpfung einiges gelernt und das ist ja auch was, oder??? ;)
     
  17. h_klein

    h_klein Kbyte

    Registriert seit:
    19. September 2000
    Beiträge:
    277
    Hallo Sudelede,
    das mußt du mir erzählen wie man ohne Firewall heutzutage im Internet surfen kann ohne sich was einzufangen. Da gab es mal einen Bericht, dass es heute nur noch ca. 20 Minuten dauert, bis ein ungeschützter PC am Internet befallen ist...

    Ja ich weiß: die Alternative heißt LINUX, aber dafür sollte man schon ein PC-Profi sein
    und es ist nunmal eine Tatsache, dass auf den heutigen Discount-PC's immer ein WINDOWS vorinstalliert ist... da kann man sagen was man will, ob nun Bill Gates von Betriebssystemen 'ne Ahnung hat oder nicht... er hat auf jeden Fall die profitabelste Geschäftsstrategie ;)
     
  18. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Ganz einfach:
    Schotten dicht: http://www.ntsvcfg.de/#_intro
    System up2date: http://www.ntsvcfg.de/#_osupd


    Bezüglich Softwarefirwall: http://www.ntsvcfg.de/#_pfw


    Ich z.B. surfe schon immer ohne (Software-)Firewall. Zugegeben, seit drei Jahren sitz ich hinterm Router, aber davor gings auch.



    Nö, inzwischen < 1min. Hab mal im Rahmen einer Neuinstallation aus Spaß getestet, was mit nem blanken XP passiert wenn man kurz ins Internet geht.
    Danach hieß es dann alles von vorn ( format c: ). Hat dem Besitzer des PCs hoffentlich die Augen geöffnet (zumindest hat er bis jetzt keine Probleme mehr gemeldet). :D

    .
     
  19. mistertc

    mistertc Kbyte

    Registriert seit:
    20. Juni 2002
    Beiträge:
    298
    Gewonnen! ca. 15 Minuten vorgestern. Er meinte noch ich solle machen, dass alles durchgeht an den einen PC (weil seitdem er nen router hat...)

    *g* habs umgestellt und bin weitergeradelt. Keine 15 Minuten später bekomm ich nen anruf: geht nix mehr. Hatte der Kerl doch tatsächlich Noch W2K ohne SP laufen. Sachen gibts.

    Was mich aber darauf bringt: Kann man von einem normalen User erwarten, dass er von sich aus beim Benutzen eines Rechners immer richtig handelt??? Er hat ja schließlich nicht das Hintergrundwissen dazu. Stellt euch mal in die Backstube und backt Brötchen oder fangt mal an nen Pulli zu nähen. Es geht nicht Und deswegen könnte man euch auch nicht böse sein.
    Und spätestens wenn euch die User mit treuen großen Augen anblicken ist alles verziehen...
     
  20. Bischof

    Bischof Byte

    Registriert seit:
    17. April 2004
    Beiträge:
    119
    @h_klein

    was mir beim Posting von TheDOCTOR noch fehlt:

    Alternativen Browser und Mail-Client benutzen. IE und OE in die Tonne.

    mfg

    EDIT: Mist! steht ja im Link... :aua:
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen