Unbekannter Virus/Adware - Rokop Security

Rokop Security

Mitglieder Moderatoren

Regeln

Hilfe

Suche

Mitglieder

Kalender

Willkommen, Gast ( Anmelden | Registrierung )

Rokop Security > Security > HijackThis-Logs

Unbekannter Virus/Adware

Einstellungen

hypnos23 Profil ansehen	03.03.2005, 19:17 Beitrag #1
Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir	hallo, ich habe seit kurzem einen Warnhinweis auf meinem Desktop. Auf englisch steht da das meine daten für alle sichtbar wären und ich das ganz einfach removen können, dort befindet sich auch ein Link zu einer seite. Dieser Hinweis geht nicht mehr weg und ich habe im auf C: die datei r.exe. Ich habe wiederholt diese gelöscht doch sie kommt immer wieder, und der Hinweis ist durchgehent da. Den text des Hinweises hab ich gelöscht doch nun ist dort an der stelle ein weißes Feld. Der Virusscanner zeigt auch nix an und ihr seid meine letzte Hilfe. Vielen dank schonmal im vorraus!!! Logfile of HijackThis v1.99.0 Scan saved at 19:15:17, on 03.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Administrator\Desktop\RedLine\vernichtung\HijackThis.exe R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent O4 - HKCU\..\Run: [Wallpaper4U] C:\PROGRA~1\WALLPA~1\WALLPA~1.EXE -w O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe" O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: gameutil.exe.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O15 - Trusted IP range: (HKLM) O16 - DPF: {11111111-1111-1111-1111-222222222222} - ms-its:mhtml:file://C:one.MHT!http://www.t058.com//inst//x.chm::/open.exe O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Gast_Christian_*	03.03.2005, 20:21 Beitrag #2
Gäste	Hallo, lass die Datei r.exe doch bei http://www.malwareupload.com überprüfen.

hypnos23 Profil ansehen	03.03.2005, 21:05 Beitrag #3
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir	nach dem ich sie 2 mal gelöscht habe kann ich sie nicht mehr finden, aber dieses weiße feld ist immer noch da. Vielleicht hilft euch der Quelltext des Feldes: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"> <!---- *** This file is automatically generated by Microsoft Windows * --------><HTML><HEAD> <META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD> <BODY style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none" bottomMargin=0 bgColor=#000000 leftMargin=0 background="" topMargin=0 rightMargin=0> <DIV style="LEFT: 0px; WIDTH: 1024px; POSITION: absolute; TOP: 0px; HEIGHT: 768px"><IMG style="LEFT: 0px; WIDTH: 100%; POSITION: absolute; TOP: 0px; HEIGHT: 100%" cache src="file:///C:/Wallpaper4U.bmp"> </DIV><IFRAME id=0 style="BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH:px; POSITION: absolute; TOP: 1px; HEIGHT: px" name=DeskMovrW marginWidth=0 marginHeight=0 src="file:///C:/WINDOWS/Web/desktop.html" frameBorder=0 scrolling=no subscribed_url="C:\WINDOWS\Web\desktop.html" resizeable=""> </IFRAME> <OBJECT id=ActiveDesktopMover style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5" classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT> <OBJECT id=ActiveDesktopMoverW style="Z-INDEX: -1; LEFT: -1px; VISIBILITY: hidden; WIDTH: 802px; POSITION: absolute; TOP: 0px; HEIGHT: 571px; container: positioned" classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>  </BODY></HTML> Der Beitrag wurde von hypnos23** bearbeitet: 03.03.2005, 21:15

raman Profil ansehen	03.03.2005, 22:47 Beitrag #4
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59	Da hat dich irgendwann ein Downloadder getroffen. Die r.exe war wohl Trojan-dropper.win32.smal.oy. Das weisse Feld bekommst du weg, indem du auf einen freien Teil des Desktops die rechte Maustaste drueckst und eignschaften/Desktop/desktop anpassen/web waehlst und die dort angegebene Seite loeschst -------------------- MfG Ralf

hypnos23 Profil ansehen	04.03.2005, 19:57 Beitrag #5
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 9 Mitglied seit: 03.03.2005 Mitglieds-Nr.: 1.976 Virenscanner: antivir	danke bin ich jetzt immer noch irgendwie gefährdet durch den trojaner??

raman Profil ansehen	04.03.2005, 20:15 Beitrag #6
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59	Es ist schwer so eine "Attacke" ohne Schaden zu ueberstehen. Versuche nochmal eScan. Vieleicht findet das noch was: http://www.rokop-security.de/index.php?showtopic=3867 -------------------- MfG Ralf

« Vorhergehendes Thema · HijackThis-Logs · Folgendes Thema »

1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)

0 Mitglieder:

Anzeige Modus: Standard · Wechsle zu: Thema+ · Wechsle zu: Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung

Aktuelles Datum: 18.04.2024, 20:36

Licensed to: Rokop Security

Impressum

Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment