Was passiert mit meinem Rechner ?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Quango, 5. Oktober 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Quango

    Quango ROM

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    4
    Hab seit 3 Tagen das Problem, dass irgentetwas auf meinem Rechner den IE im Hintergrund öffnet und durch XXX-sites servt ( zu sehen an cookies ). Das Prob. dabei is dat der IE nicht in der Taskleiste zu sehen ist !!!
    Das er im Hintergrund aktiv ist sieht man nur im Taskmanager...
    Habe win2000 und schon alle sicherheitsupdates gezogen, desweitern Virenscanner und antispyProgs finden nix !
    Einzigste möglichkeit zurzeit die Einwahl zu verhindern, ist über zonealarm den explorer um "Erlaubniss" fragen lassen ob er ins netz darf. Doch dat nervt, weil er jede minute nachfragt !
    Hoffe weiß jemand was !!

    Gruß
    quang

    p.s. : kein dialer da dsl
     
  2. Gast

    Gast Guest

    Das war ein simpler Browser-Hijacker. Aber wer den IE benutzt....
     
  3. wodkabull

    wodkabull Byte

    Registriert seit:
    7. Oktober 2003
    Beiträge:
    11
    was wars denn nu? trojaner oder virus?
     
  4. Gast

    Gast Guest

    Herrje...is ja grauslich.
    Entferne die R1-Einträge, ebenso den Eintrag bzgl. tapicfg.exe.
    Auch sonst läuft zu viel Kram bei dir, auf den du verzichten könntest (Scannersoftware, Office, ZoneAlarm, Acrobat Reader)
     
  5. Quango

    Quango ROM

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    4
    Tach Steele,

    habe Hijack mal drüber laufen lassen, da sind ja tatsächlich einige Dats bei dir der Task manager nicht anzeigt...
    Kannst du denn mit den Einträgen was anfangen ?

    Logfile of HijackThis v1.97.2
    Scan saved at 18:29:00, on 06.10.2003
    Platform: Windows 2000 SP4 (WinNT 5.00.2195)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\system32\spoolsv.exe
    C:\Programme\AVPersonal\AVGUARD.EXE
    C:\Programme\AVPersonal\AVWUPSRV.EXE
    C:\WINNT\System32\svchost.exe
    C:\PROGRA~1\LINKFA~1\mfp.exe
    C:\WINNT\System32\nvsvc32.exe
    C:\WINNT\system32\regsvc.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\stisvc.exe
    C:\WINNT\system32\ZONELABS\vsmon.exe
    C:\WINNT\System32\WBEM\WinMgmt.exe
    C:\WINNT\system32\svchost.exe
    C:\WINNT\Explorer.EXE
    C:\PROGRA~1\Logitech\iTouch\iTouch.exe
    C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    C:\Programme\AVPersonal\AVGNT.EXE
    E:\Programme\CanoScan\opware32.exe
    C:\WINNT\dit.exe
    C:\Programme\ICQLite\ICQLite.exe
    C:\WINNT\system32\internat.exe
    C:\winnt\rundll32.exe
    C:\PROGRA~1\Logitech\iTouch\kbdtray.exe
    C:\WINNT\system32\rundll32.exe
    C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    C:\Programme\Linkfax Pro\launcher.exe
    C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
    C:\WINNT\system32\wuauclt.exe
    C:\Programme\ArcorDSL\ArcorDSL.exe
    C:\Programme\Internet Explorer\iexplore.exe
    D:\download\HijackThis.exe
    C:\Programme\Internet Explorer\iexplore.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.fastwebfinder.com/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.fastwebfinder.com/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.fastwebfinder.com/sp.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://acc.count-all.com/-/?bzbjr (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?bzbjr (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://****okopec.com/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://acc.count-all.com/--/?bzbjr (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://acc.count-all.com/--/?bzbjr (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://acc.count-all.com/--/?bzbjr (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.fastwebfinder.com/sp.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?bzbjr (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://acc.count-all.com/--/?bzbjr (obfuscated)
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
    O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [iIWiper] D:\Programme\iISystem Wiper\SystemWiper.exe m
    O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [Omnipage] E:\Programme\CanoScan\opware32.exe
    O4 - HKLM\..\Run: [dit] dit.exe
    O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
    O4 - HKLM\..\Run: [keymgrldr] rundll32 setupapi,InstallHinfSection Oemkeymgr9x 128 keymgr3.inf
    O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
    O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe
    O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
    O4 - HKCU\..\Run: [internat.exe] internat.exe
    O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
    O4 - HKCU\..\Run: [rundll32] C:\winnt\rundll32.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O4 - Global Startup: launcher.lnk = C:\Programme\Linkfax Pro\launcher.exe
    O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {38545C2A-03CD-42C3-BC62-C537A6D5A8F6} - http://download.globaldialer.net/GlobalDialer_de.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37896.442349537
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{2C397B7A-ADD6-4356-851F-B9402AD9AE61}: NameServer = 145.253.2.203 145.253.2.139
     
  6. Gast

    Gast Guest

    Das ist ja das Problem! Der Normaluser kann nicht beurteilen, welches Programm auffällig ist. Also poste hier doch einfach die Einträge bzw. mach mit HijackThis einen Scan und poste hier den Report.

    User des IE fangen sich immer wieder solche Teile, weil sie zum einen zu lasche Sicherheitseinstellungen im Browser verwenden und zum anderen der IE auch sonst etliche Manipulationen zulässt. Selbst die HOSTS Datei von Windows lässt sich so verändern.
     
  7. Quango

    Quango ROM

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    4
    Hi HKF

    Wenn es denn so einfach wäre, im Taskmanager befindet sich leider kein auffälliges Prog...

    Trotzdem danke !!!

    grüsse

    QUang
     
  8. hongkongfui

    hongkongfui Byte

    Registriert seit:
    18. April 2002
    Beiträge:
    30
    hallo,

    ähnliches hatte ich wochenlang unter win98 mit IE. ständig kamen xxx-sites, ohne daß man was böses machte. popup-blocker, yaw und ad-aware haben alle nix geholfen. habe dann aus lauter frust mozilla installiert. zwar sehr gut, hat aber das problem nicht beseitigt.

    lange rede, kurzer sinn: ich hatte einen trojaner!
    er stand im root-directory (ray.exe) und im task-manager.
    habe ihn im task-manager gelöscht, im root auch und dann einen registry-eintrag gefunden und auch gelöscht.

    seitdem ist ruhe! (wunderbar!)

    habe nicht viel ahnung von der materie, aber vielleicht ist der fall bei dir ähnlich gelagert!?

    grüße
    hongkongfui
     
  9. Quango

    Quango ROM

    Registriert seit:
    5. Oktober 2003
    Beiträge:
    4
    Moin Nemesis,

    danke für Tip, aber den hat ich schon installiert, aner er findet auch nix !

    Gruß

    quango
     
  10. Nemesis-LoD

    Nemesis-LoD Kbyte

    Registriert seit:
    13. März 2003
    Beiträge:
    186
    Hi Quango!

    Zieh Dir mal Spybot - Search and Destroy.
    Das entfernt die ganzen lästigen Dinger!

    Gruß, Nemesis

    PS: Homepage
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen