Forum
Tipps
News
Menu-Icon

Win XP: auftauchen von trojanern während des surfens

Mein  Problem ist folgendes:L
Ich surfe nur durch das Internet und nach einer weile meldet Kaspersky einen Trojaner.
Dies passiert nicht allzu oft, aber heute zum beispiel meldete er mir einen dialler (trojan.win32.delf.av) obwohl ich auf keiner dafür bekannten seiten war (* bitte keine illegalen Tipps *z, ---o...).
Ich habe einmal HijackThis durchlaufen lassen, kann es aber selbst nicht interpretieren, es wäre schön, wenn mir jemand die logfile interpretieren könnte und mir tips geben könnte.
Übrigens, ich hatte neulich schon einen Dialer drauf, der sich fast eingewählt hatte, was aber 0190 Warner verhindert hat, dann habe ich die exe-Datei gelöscht, ich habe aber Angst, dass er ein Paar Reg-Einträge hinterlassen hat, die im Internet wieder connecten...

HijackThis Log:

Logfile of HijackThis v1.97.7
Scan saved at 18:28:32, on 11.01.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WIN_XP\System32\smss.exe
D:\WIN_XP\system32\winlogon.exe
D:\WIN_XP\system32\services.exe
D:\WIN_XP\system32\lsass.exe
D:\WIN_XP\system32\svchost.exe
D:\WIN_XP\System32\svchost.exe
D:\WIN_XP\system32\spoolsv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WIN_XP\System32\nvsvc32.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WIN_XP\htpatch.exe
D:\Programme\Ahead\InCD\InCD.exe
D:\PROGRA~1\0190WA~1\WARN0190.EXE
D:\Programme\CloneCD\CloneCDTray.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\ICQLite\ICQLite.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
D:\WIN_XP\Mixer.exe
D:\WIN_XP\System32\ctfmon.exe
D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
D:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\WIN_XP\explorer.exe
D:\Programme\Shareaza\Shareaza.exe
D:\Programme\Winamp\Winamp.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WIN_XP\System32\cmd.exe
E:\Matthias\downloaded\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WIN_XP\sec32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WIN_XP\sec32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://bad-url.com/start.php?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://bad-url.com/start.php?
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WIN_XP\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] D:\WIN_XP\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] D:\WIN_XP\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HorngTech4D] D:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [NeroCheck] D:\WIN_XP\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "D:\Programme\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [0190 Warner] D:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Helper Service] D:\WIN_XP\System32\mstaskm.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WIN_XP\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [pkColorPicker] "E:\Colorpicker\pkColorPicker" /s
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = D:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = D:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O12 - Plugin for .spop: D:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .tif: D:\Programme\Internet Explorer\PLUGINS\npqtplugin5.dll
O13 - DefaultPrefix: http://bad-url.com/start.php?
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/20a3e1a9ac1ceabd1901/netzip/RdxIE601_de.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0595EC94-3814-41A0-AE7F-74D92313F5EC}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{0595EC94-3814-41A0-AE7F-74D92313F5EC}: NameServer = 62.27.27.62 62.27.53.66



Antworten zu Win XP: auftauchen von trojanern während des surfens:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hi, Ion
ich kann zwar nicht diesen Rattenschwanz deuten, aber lass doch Deinen PC online von "Pestpatrol" scannen und und scheinbar hast Du keine Firewall. Nimm doch "Outlook" ist Freeware von www.agnitum.de  

so, ich habs jetzt ma mit pestpatrol probiert, aber der findet auch nicht viel mehr, als adaware und spybot. mit einer firewall hatte ich es schon mal probiert, aber da kam ich nicht mehr ins netzwerk... außerdem besitze ich einen rooter, der meiner meinung nach eine firewall hat.
ich kann halt keine firewall so konfigurieren, dass ich noch ein p2p programm nutzen kann und das netzwerk.

Schaut eigentlich alles erstmal nich schlecht aus bis auf die searchpages..

Haste eigentlich ne ISDN-Karte oder Modem im rechner ?

Webnn nicht brauchst dir auch keine Gedanken wegen Dialer machen.

Also HijackThis nochmal öffnen und folgende markieren und fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://awebfind.biz/sp.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://awebfind.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://awebfind.biz/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://awebfind.biz/sp.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WIN_XP\sec32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = D:\WIN_XP\sec32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://bad-url.com/start.php?
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://bad-url.com/start.php?

Also alle R0 + R1
Aber nur wenn du die Suchseiten nicht selber eingestellt hast...

Gruß

« Letzte Änderung: 11.01.04, 19:58:22 von Nighty »

vielen dank, hab ich gefixt.
ich habe am usn so nen wireless t-sinus data, also gehe ich dann über nen rooter ins netz (mit flatrate, dsl), ich muss trotzdem um ins internet zu kommen jedesmal auf "verbinden" klicken und dann Passwort und Benutzername. Kann da nicht einfach nen Dialer eine neue Verbindung erstellen und dann mich auswählen und sich selbst einwählen?

Nein wenn du nur DSL hast dann nicht weil DSL keine Wählverbindung ist,drum kann sich zwar ein Dialer festsetzen bei dir kann aber nix draus machen, vorrausgesetz du hast keine ISDN-Karte und kein Modem drin.

Und wegen wählen musste halt das Passwort specihern und automatische Einwahl machen dann musst nicht mehr hedesmal angeben.

Gruß

vielen dank für deine hilfe, doch ich habe noch nicht richtig verstanden...
wieso ist dsl keine wählverbindung, wenn ich mich doch jedes mal einwählen muss?
Und:
wie haben den dsl anschluss bei t-online bestellt, sind dann aber auf tiscali.de gegangen und haben uns dort angemeldet und die dsl-zugangssoftware installiert. also könnte mir doch jeder so eine zuganssoftware installieren (also auch ein dialer)
sorry, dass ich so dumm frage, aber in der richtung hab ich echt kein plan, aber das könnte irgendwann mal teuer werde...

Also DSL is praktisch ne Netzwerkverbindung mit deim Provider, also es wird keine Nummer gewählt, egal ob einwahlsoftware oder nicht.
Die Verbindung/Einwahl ist nur dazu da dich zu identifizieren unn dir eine IP zuzuweisen.

Und ohne Wählverbindung können sich bei dir 100 Dialer auf den Rechner schleichen ohne das sie Kosten verursachen können weil kein Gerät da ist das sie benutzen können(Isdn-Karte/Modem)

Gruß

...also ist die 123 die mein Computer bei der Einwahl immer wählt nur so "ein Lückenfüller"?

Vielen Dank, du hast mir sehr geholfen und ich bin beruhigt...
ion

Jo genau da kannste auch 0 oder 1 oder wasauchimmer eingeben..

Gruß


« Win98: fehlendes Flash-PluginWin XP: prof.: Kopieren re. Maustaste nicht mögl. »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Internet
Das Internet, ein aus den Worten "International" und "Network" zusammengesetzter Begriff, ist ein globales Netzwerk (WAN: Wide Area Network), das eine Vielzahl von Comput...

Internet Time
Siehe Swatch Internet Time. ...

Internet-Zugriffsprogramm
Ein Internet-Zugriffsprogramm, auch Browser genannt, stellt Internetseiten für den Benutzer dar. Am bekanntesten ist der Microsoft Internet Explorer, gefolgt vom kos...