Also....
1) Ich habe jetzt die vollständige Prüfung mit F.Secure nochmals laufen lassen. Wenn ich Bericht anzeigen drücke, wird allerdings nichts geöffnet, aber vielleicht liegt es ja daran dass er nicht gefunden hat. Gescannt:73783; übersprungen: 26, alles andere, d.h. gefunden 0.
2) Zu deinem Kommentar Sir Reklov: Administrator gibt es hier keinen. Am Netzwerk hängt nur ein Netzwerdrucker und mein Laptop, wenn dann muss ich also zu mir selbst rennen, und das hilft leider auch nicht wirklich, denn wie inzwischen wohl jeder bemerkt haben sollte, habe ich Null Ahnung von der ganzen Sache.
3):\Programme\Raiffeisen OnLine InternetSecurity\...keine Ahnung was das ist. Raiffeisen Online ist mein Internet Provider, auf den ich für die Mailabrufe zugreife und von dem ich auch die Lizenz für das Antivirus erworben habe
4) Werde jetzt nochmals Ewido laufen lassen und den Bericht posten
5) Nochmals die blöde Frage: Bin ich also nich immer völlig ungeschützt vor Hackern, d.h. hat möglicherweise gerade jemand Zugriff zu meinen Daten , Mails oder benutzt gar meine Internetverbindung für sich??
Hallo,
Der PC hängt an einem internen Netzwerk mit 100ten von Einstellungen,Diesen Satz von dir, habe ich wohl falsch interpretiert......
Raiffeisen Online ist mein Internet Provider,Jep,ich habe jetzt mal gegoogelt..
Um genau zu sein; ist es ein italienischer Internetprovider.
Programme\Raiffeisen OnLine InternetSecurityDas ist dein AV-Scanner,den hast du von den Raiffeisen-Leuten.Läuft genau so, wie hier mit T-Online...
Die verkaufen auch noch gerne nebenbei was...
Was gedenkst du nun zu tun ?
Natürlich kannst du noch ein paar Programme und Entfernungstools an die Hand bekommen...kein Problem...
ABER.....
Beispielsweise ist über diese Exe mit Google und sonstigen Quellen nichts zu finden.Das ist höchst ungewöhnlich !!
Ich persönlich gehöre der Fraktion derer an ,die sagen :Sicherheit und alleinige Herrschaft über den Rechenknecht habe nur ich.
Sicherheit bedeutet,das Prozesse die ich nicht kenne bzw.über die ich nichts im weltweiten Netz finden kann ,um sie mir zu erklären,haben auf meiner Kiste nichts zu suchen.
Hast du mal unter www.wikipedia.de den Begriff "Rootkit" eingegeben ?
Ich würde dir nach wie vor eine Neuinstallation anraten !
Nur so kannst du dir vollkommen sicher sein das kein Fremder dir über die Schulter guggt oder deine Kiste mitsteuert.Was ein Scanner oder ein Tool nicht gesagt bekommen,können sie auch nicht entdecken.Das ist ein Fakt,der unumstößlich ist.
Dir muß auch nicht bange sein vor einer Neuinstallation.. Ich kann dir Links geben,in denen der Vorgang sehr gut beschrieben ist.Auch hätte ich Links zur Hand,die dir helfen und ratschlagen,wie dein Compi abzusichern ist.
Natürlich mußt du Zeit investieren,verschiedenes durchlesen,eventuell Notizen machen oder ausdrucken,dich halt drum kümmern...
Ist ganz ähnlich wie sich Frauen Sex vorstellen....Längeres Vorspiel-aber der eigentliche Akt geht dann zügig über die Bühne..
Sir Reklov
Hier nochmals der neue EWIDO OUTPUT. Ich habe die Datei wieder renamed!
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________
Name: Trojan.DNSChanger.gp
Path: C:\WINDOWS\system32\kdmsy.exe.ren
Risk: High
Hallo,
also doch Bastelstunde ?
Das ist "Zlob" der ja angeblich nicht mehr da sein sollte...
Gugg mal hier und achte auf die blau unterlegten Links....
http://www.trojaner-board.de/30411-anleitung-zur-entfernung-von-zlob.html
Sir Reklov
Hier nochmals der neue EWIDO OUTPUT. Ich habe die Datei wieder renamed!
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________
Name: Trojan.DNSChanger.gp
Path: C:\WINDOWS\system32\kdmsy.exe.ren
Risk: High
Hallo mthomaser,
war das alles was Ewido gefunden hat ?
Wurde die Datei durch Ewido entfernt ?
Lösche bitte erneut deinen Browser-Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
und führe den Befehl Cleaner aus.
Deaktiviere die Systemwiederherstellung von Windows XP.
Eine Anleitung dazu findet man unter: http://www.bsi.de/av/texte/wiederher.htm
Scanne noch einmal mit Ewido den PC und poste den Bericht.
Zur Kontrolle sollte noch eine Überprüfung mit dem kostenlosen Online-Scanner Panda ActiveScan vorgenommen werden.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
Und nicht vergessen - Den Bericht bitte posten !
Erstelle ein neues HijackThis Log und poste es hier.
Prüfe bitte unbedingt ob alle Windows Updates eingespielt sind !
Also:
EWIDO findet nichts mehr
Aber mit Pandasoftware ergab sich folgendes:
Potenziell unerwünschtes Tool:Application/MyWay Nicht desinfiziert C:\Programme\Netscape\Communicator\Program\Plugins\NPMyWay.dll
Mögliches Virus. Nicht desinfiziert
C:\Programme\Opera7\download\intcodec-v6.403.0xe[²ÜÇ\isecur.dll]
Spyware:Spyware/7r7t Nicht desinfiziert
C:\WINDOWS\system32\mscomtl32.exe
Das neue LOG File von Hijack ist folgendes:
Logfile of HijackThis v1.99.1
Scan saved at 08:25:38, on 26.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\RAIFFE~1\backweb\7936210\Program\SERVIC~1.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\program\fsbwsys.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\FSGK32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fssm32.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMB32.EXE
C:\Programme\Kyocera\FileUtility\SFUSVC.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FCH32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsqh.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FAMEH32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsrw.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsav32.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\GSICON.EXE
C:\WINDOWS\system32\dslagent.exe
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE
C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe
C:\PROGRA~1\RAIFFE~1\ANTI-S~1\fsaw.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\fsguidll.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\phonostar\ps_timer.exe
C:\programme\voipstunt.com\voipstunt\voipstunt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\Program\fspex.exe
C:\Programme\USB Phone Driver\USB VoIP Driver.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Oekotherm\Lokale Einstellungen\Temp\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.rolbox.net:8080;https=proxy.rolbox.net:8080;ftp=proxy.rolbox.net:8080;gopher=proxy.rolbox.net:8080
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GSICONEXE] GSICON.EXE
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe USB
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\Raiffeisen OnLine InternetSecurity\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Programme\Raiffeisen OnLine InternetSecurity\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [VoipStunt] "C:\programme\voipstunt.com\voipstunt\voipstunt.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - Startup: USB Phone Driver.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Raiffeisen OnLine InternetSecurity.lnk = C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\Program\fspex.exe
O4 - Global Startup: Verknüpfung mit Fax.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Spyware\ieshield.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
und weiters......
O14 - IERESET.INF: START_PAGE_URL=http://www.raiffeisen.it/
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/games/clients/y/ct5_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/pote_x.cab
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {AADFFE48-8DBD-4B56-8F70-2A6CF29F548A} (WebSF Control) - http://mytel.ecs.net/WebSF.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O16 - DPF: {FF536F77-656B-4863-96F7-B7C8DBF342E3} (WebPhone Control) - http://www.abbeyphone.com/activex/WebPhone-1.2.5.2_light.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Raiffeisen OnLine InternetSecurity (BackWeb Plug-in - 7936210) - Raiffeisen OnLine InternetSecurity - C:\PROGRA~1\RAIFFE~1\backweb\7936210\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\Raiffeisen OnLine InternetSecurity\backweb\7936210\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\FWES\Program\fsdfwd.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Programme\Raiffeisen OnLine InternetSecurity\Common\FSMA32.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SFUSVC - KYOCERA MITA CORPORATION - C:\Programme\Kyocera\FileUtility\SFUSVC.exe
Lösche die folgenden Dateien:
C:\Programme\Netscape\Communicator\Program\Plugins\NPMyWay.dll
C:\WINDOWS\system32\mscomtl32.exe
C:\Programme\Opera7\download\intcodec-v6.403.0xe
Boote den PC im Anschluss und führe dann erneut eine Überprüfung mit den Online Scanner Panda durch !
Ergebnis ? Findet er noch was dann poste dies hier.
Wie sieht es jetzt mit deinen Problem bei google mit den falschen Seiten aus?
Prüfe bitte noch, von wann das letzte Update bei F-Secure Anti-Virus stammt.
Hallo,
1) PANDA findet jetzt auch nichts mehr
2) F-Secure
Virusdefinitionen von "heute 16.16 Uhr"
Spyware-Definitionen von "vor 11 Tagen" (16-11-2006)
Sicherheitsstufen 29.03.2006
Software 28.06.2006
3) Hatte noch keine Zeit um zu googeln, aber ich hoffe, das Problem ist verschwunden
Danke inzwischen an alle für die Tipps
Hallo,
der "abgesicherte Modus" heißt deshalb so,weil nur die allernotwendigsten Prozesse darin ausgeführt werden.Der Scanner hat es dann leichter sozusagen.
Abgesicherter Modus geht mit drücken F8 beim Starten und dann dem Auswahlfenster folgen.
Deshalb bleibe ich trotzdem bei meiner Auffassung ,das eine Neuinstallation der sicherer Weg ist um ein vertrauenswürdiges System zu besitzen.Vor allem wenn der Rechenknecht beruflich genutzt wird und du wohlmöglich Kontodaten und Ebay-Passwörter eingibst.
Sir Reklov
« critical system errors | Werbung (E-Mails) » | ||