Virus?

Dieses Thema im Forum "Sicherheit" wurde erstellt von BOG, 20. April 2006.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    high!
    ich glaube ich bin infiziert!!
    trotz avast und ad-aware hat es jemand geschafft,glaube ich!
    könnt ihr euch das mal anschauen,bin absoluter laie!
    vielen dank im voraus,
    BOG
    Logfile of HijackThis v1.99.1

    gelöscht (siehe Hinweis von User Steppl)

    Überschrift geändert

    fidel_castro
     
  2. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Beachte bitte die FAQ bezüglich deiner Überschrift und den im Virenboard oben angepinnten Thread zum Thema "Hijackthis-Logs". Ändere deinen Beitrag bitte dahingehend ab.

    BTW: Wenn du einen Verdacht (AV-Meldung???) hast, lass' uns nicht dumm sterben und 'rumraten, schreibe was dazu.
     
  3. Systemfailure

    Systemfailure Byte

    Registriert seit:
    18. April 2006
    Beiträge:
    113
    Ich weiß nicht wie es euch geht, aber mir komme folgende Prozesse Spanisch vor:

    D:\Programme\Tor\tor.exe
    D:\Programme\TorCP\torcp.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    D:\Programme\Privoxy\privoxy.exe

    Wenn ihr wisst was das für Prozesse sind, lasst es mich bitte wissen.
     
  4. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    Ich weigere mich, auch nur eine Zeile des Logs zu lesen,solange der Beitrag/Thread nicht gewisse Mindestanforderungen erfüllt.
     
  5. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.612
    Könnte stimmen, nach dem Aussehen deines Avatars.

    Könnte der "jemand" du selbst gewesen sein?

    Meistens bekommt man etwas ab, wenn das Betriebssystem nicht vollständig gepatched ist, Sicherheitssoftware blind vertraut wird, Dateianhänge und unbekannte ausführbare Dateien ohne Überprüfung auf Malware ausgeführt werden, man sich mit unzureichenden Einstellungen der Internetoptionen auf fragwürigen Webseiten herumtreibt oder auf entsprechde Links klickt, Filesharing betreibt, der Messenger oder ähnliche Programme mit Netzzugriff ständig aktiv und veraltet sind und Software und Tools benutzt werden, die besonders angreifbar sind.
     
  6. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    Betriebssystem Microsoft Windows XP Home Edition 5.1.2600 (WinXP Retail)

    Computer:
    Betriebssystem Microsoft Windows XP Home Edition
    OS Service Pack Service Pack 2
    DirectX 4.09.00.0904 (DirectX 9.0c)
    Computername ....
    Benutzername .....

    Motherboard:
    CPU Typ Mobile Intel Pentium M 725J, 1600 MHz (16 x 100)
    Motherboard Name Asus A6000Va Series Notebook
    Motherboard Chipsatz Intel Alviso i915PM
    Arbeitsspeicher 512 MB (DDR2-533 DDR2 SDRAM)
    BIOS Typ AMI (09/20/05)
    Anschlüsse (COM und LPT) ECP-Druckeranschluss (LPT1)

    Anzeige:
    Grafikkarte ATI MOBILITY RADEON X700 (64 MB)
    Grafikkarte ATI MOBILITY RADEON X700 (64 MB)
    3D-Beschleuniger ATI Mobility Radeon X700 (M26-X)
    Monitor Plug und Play-Monitor [NoDB]

    Multimedia:
    Soundkarte Intel 82801FBM ICH6-M - High Definition Audio Controller [B-2]

    Datenträger:
    IDE Controller Intel(R) 82801FB/FBM Ultra ATA Storage Controllers - 266F
    IDE Controller Ricoh Memory Stick Bus Host Adapter
    IDE Controller Ricoh SD Bus Host Adapter
    Festplatte FUJITSU MHV2080AT PL (80 GB, 4200 RPM, Ultra-ATA/100)
    Optisches Laufwerk TSSTcorp CD/DVDW TS-L532U (DVD+R9:2.4x, DVD+RW:8x/4x, DVD-RW:8x/4x, DVD-ROM:8x, CD:24x/10x/24x DVD+RW/DVD-RW)
    S.M.A.R.T. Festplatten-Status OK

    Partitionen:
    C: (FAT32) 44685 MB (14519 MB frei)
    D: (FAT32) 29699 MB (11443 MB frei)
    Speicherkapazität 72.6 GB (25.4 GB frei)

    Eingabegeräte:
    Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
    Maus Microsoft PS/2-Maus

    Netzwerk:
    Netzwerkkarte Intel(R) PRO/Wireless 2200BG Network Connection (192.168.178.50)
    Netzwerkkarte Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Copper RJ-45
    Modem HDAUDIO SoftV92 Data Fax Modem with SmartCP

    netzteil:
    model sadp-65kb b
    input: 100-240 1.5A 50-60Hz
    output: 19V 3.42A

    langt euch das??
    tut mir leid,glaubte hier schon mal ne highjack this logfile gesehen zu haben!

    wäre weiterhin dankbar für hilfe!
     
  7. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du sollst dein HijackThis-Log als Link zur Auswertung angeben, nicht das komplette Log direkt im Thread einfügen. Wozu ist dieser Thread wohl oben im Forum angepinnt:
    http://www.pcwelt.de/forum/thread134046.html

    Kurzfassung:
    Erstelle mit HijackThis ein Log und jag es durch die Automatische Auswertung ( http://www.hijackthis.de/ )
    Den Link zum Ergebnis ("Auswertung speichern", nach der Auswertung ganz unten auf der Seite) postest du dann hier. Nur den Link, nicht das komplette Log.
     
  8. steppl

    steppl Halbes Gigabyte

    Registriert seit:
    30. Juni 2004
    Beiträge:
    6.613
    *meld* da wäre noch was..:D
    Welche Meldung o.ä. gab dir Anlass zu der Vermutung mit der Infektion? AV-Meldung mit Virenname, Datei und Pfad?
     
  9. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    http://www.hijackthis.de/logfiles/a2cd5d4e5b2c17f368bb3ba69a1a09e8.html

    vor drei tagen hatte ich schon das gefühl und habe mit avast gescannt!
    meldung virus oder wurm erkannt,namen hab ich vergessen(ich depp!!)
    habe in "ausführen" "msconfig" bei system start babylon deaktiviert,seitdem meldung bei t-dsl speed manager,icq und andere wenn ich sie starten will diese meldung von ad-aware:

    WARNING:
    an attempt to alter a protected object has been detected
    (attempt to add a registry value)
    root:HKEY_current_user
    key:software/microsoft/windows/currentversion/run once
    value icq lite
    data:
    new data: c:/programme/icqlite/icqlite.exe-trayboot
     
  10. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    im logfile tauchen einige daten auf,die ich deinstallierte!
    mywebsearch,sequilizer!
    preispiraten heute deinstalliert
    was Tor ist,wisst ihr ja,oder?!

    leute,nicht jeder ist so perfekt,ich bin absoluter laie!
    deshalb könnte so mancher nen netteren tonfall aneignen!
    für was die faq "nettiquette" wenn man direkt angefahren wird,wenn man mal nen fehler macht?!
    think about!
    ich steh wegen diesem sch... voll unter strom!
    könnt ihr euch als profis nicht vorstellen??

    p.s.:ich benutze firefox,nicht IE!

    mfg,BOG
     
  11. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    der virus fand ich am 16.04.06 hieß: Uruguay

    davor am 17.3:trojaner 1403 und etwas spyware,alles sofort erkannt
    auf der seite 1 findet ihr den nötigen ling zu highjack
     
  12. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.612
    Am besten machst du alle BHOs (Browser Helper Objekts) weg.
    Die laufen nur im IE und können unbemerkt Daten senden und zusätzliche Komponenten runterladen udn installieren, da sie dafür den IE mit dessen Interneteinstellungen benutzen.
    Die meisten Toolbars sind auch für den IE.
    Nur die, die du für den Firefox installiert hast, solltest du behalten. Welche das sind, kann ich nicht sagen, da ich noch nie BHOs und Toolbars auf meinem PC geduldet habe.
    Meiner Meinung nach stellen sie eine ständige Schwachstelle dar, die ausgenutzt werden kann.

    löschen:

    O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRfox000

    Was verbirgt sich hinter

    C:\Program Files\Sequelizer\dlg.html ?

    Das würde ich mal auf Verdacht löschen:

    O18 - Filter: text/html - (no CLSID) - (no file)

    Wenn Hijackthis in ein Verzeichnis entpackt wurde, werden gelöschte Einträge zum Wiederherstellen gespeichert.

    Im Moment befindet es sich unter \dokumente und einstellungen\Benutzername\desktop

    Da würde ich es nicht lassen, sondern in ein eigenes Verzeichnis stecken.
     
  13. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    danke!
    schon passiert!:)
    hab mich eben mal etwas in highjack this reingebohrt!
    echt cooles program!
    was allerdings komisch ist,daß ich mywebsearch und sequilizer schon länger gelöscht habe!

    weiß jemand was es mit meinem ad-aware und dem hkey ... auf sich hat?
    soll ich akzeptieren oder blocken?

    wie oder wo lösche ich:
    018-filter: text/html - (no clsid)-(no file) ???
     
  14. deoroller

    deoroller Wandelndes Forum

    Registriert seit:
    18. Juli 2000
    Beiträge:
    116.612
    http://www.trojaner-board.de/showthread.php?t=17493
     
  15. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    high!
    also,mein laptop läuft total stabil und alles funktioniert tadellos!!
    das einzige was mir eigentlich sorgen macht ist ad-aware mit:

    habe in "ausführen" "msconfig" bei system start babylon deaktiviert,seitdem meldung bei t-dsl speed manager,icq und andere wenn ich sie starten will diese meldung von ad-aware:

    WARNING:
    an attempt to alter a protected object has been detected
    (attempt to add a registry value)
    root:HKEY_current_user
    key:software/microsoft/windows/currentversion/run once
    value icq lite
    data:
    new data: c:/programme/icqlite/icqlite.exe-trayboot

    oder hab ich das selbst verursacht und alles ist o.k.??

    und wie komme ich bei XP in den abgesicherten modus (lol)?

    kann mir hier jemand helfen??
    mfg,BOG
     
  16. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Du hast offenbar mehr als nur Babylon deaktiviert. Und jetzt versuchen andere Programme ihre normalen Autostart-Einträge wiederherzustellen.

    Das kannst du natürlich zulassen.


    Beim Start F8 drücken.
     
  17. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    vieleb,vielen dank!
    dann ist bei mir alles o.k.,und habe wieder was gelernt!
    ja,es waren drei einträge,die ich deaktiviert habe!

    @the doctor!
    es tut mir leid,daß ich euch gestern etwas verärgerte!
    ich war total fladdrig,und hab mir halt nicht die zeit genommen,
    die "wichtig" threads zu lesen!
    sorry for it!
    BOG
     
  18. BOG

    BOG Byte

    Registriert seit:
    16. Februar 2006
    Beiträge:
    17
    eine frage noch:
    wie deaktiviere ich den IE ??

    BOG
     
  19. TheD0CT0R

    TheD0CT0R Dr. h.c. Mod

    Registriert seit:
    2. Dezember 2003
    Beiträge:
    17.262
    Freut mich dass du es eingesehn hast und dich entschuldigst, das machen die wenigsten.

    Und nimms nicht persöhnlich, richtig "geärgert" hab ich mich eh net. Es ist mehr eine Resignation. Da werden hilfreiche Threads geschrieben und schön sichtbar oben angepinnt, und dann werden sie regelmäßig übersehn. Da darfst du den Leuten hier ihre Reaktion natürlich nicht übel nehmen. ;)


    Einfach nicht mehr verwenden...
    Komplett deinstallieren sollte man ihn eh net, oder was meinst du genau mit "deaktivieren"?
     
  20. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Den IE kann man nicht deaktivieren.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen