dan!eL Geschrieben 14. Juli 2009 Teilen Geschrieben 14. Juli 2009 (bearbeitet) hallo zusammen, ja mir ist tatsächlich passiert - ich der jemand predigt keine unbekannten anhänge zu öffnen. hatte die datei vorher gründlichst untersucht und durch einen virenscan laufen lassen, habe sie jedoch ausgeführt (name der *.exe) weiß ich nicht mehr. nun kommt bei mir jedesmal eine warnmeldung (ich nehme an phishing warnung) wenn ich firefox starte: imgimg.de - Dein Bilderhoster zum Bilder hochladen - hmm7768585eJPG.jpg habe anschließend eine intensivprüfung des systems laufen lassen und es wurde auch einiges behoben. zudem habe im firefox verzeichnis (C:\Programme\Mozilla Firefox\res\) die file hiddenWindow.html so bearbeitet, dass kein iframe darin vorkommt (noscript addon springt darauf an). wie bekomme ich diese warnmeldung weg? das system ist auf dem neusten stand. winXP prof. sp3, firefox 3.0.11 //edit habe die datei oben anschließend auf schreibgeschützt gemacht und firefox neu gestartet. siehe da, der eintrag ist wieder vorhanden. wie ist sowas möglich? <iframe src="http://jL.chura.pl/rc/" style="display:none"></iframe> Bearbeitet 14. Juli 2009 von dan!eL Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 14. Juli 2009 Teilen Geschrieben 14. Juli 2009 Gib mal bitte ein Logfile von hijackthis. Damit kann man eher abklären, was auf dem System los ist. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
allesweg Geschrieben 14. Juli 2009 Teilen Geschrieben 14. Juli 2009 das system ist auf dem neusten stand. winXP prof. sp3, firefox 3.0.11FF 3.5 ist erhältlich. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 14. Juli 2009 Autor Teilen Geschrieben 14. Juli 2009 hatte gestern erst auf 3.0.11 geupdatet und hab grad 3.5 gesehn. sobald ich wieder aus der kaserne bin und an meinem rechner sitze poste ich die log. find ich sehr seltsam sowas, danke euch schonmal vielmals. bis spätestens samstag. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 18. Juli 2009 Autor Teilen Geschrieben 18. Juli 2009 so bin wieder da. hier die aktuelle log von hijackthis Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:34:50, on 18.07.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\G DATA\TotalCare\AVK\AVKService.exe C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe C:\WINDOWS\system32\oodag.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe C:\WINDOWS\RTHDCPL.exe C:\WINDOWS\pchealth\helpctr\binaries\helpctr.exe C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://windowsupdate.microsoft.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe O4 - HKCU\..\Run: [QIP2005] C:\Programme\QIP\qip.exe O4 - HKCU\..\Run: [Realtek HD Audio Control Panel] C:\WINDOWS\RTHDCPL.exe O4 - HKCU\..\Run: [CSSM] "C:\Programme\CSSM\CSSM.exe" /B O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount O4 - HKCU\..\Run: [DAEMON Tools Lite] C:\Programme\DAEMON Tools Lite\daemon.exe -autorun O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210885982515 O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: G Data AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: G Data Scheduler (AVKService) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe O23 - Service: G Data Dateisystem Wächter (AVKWCtl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe O23 - Service: G Data Backup Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe O23 - Service: G Data Tuner Service - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe O23 - Service: G Data Personal Firewall (GDFwSvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe O23 - Service: G Data Scanner (GDScan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe O23 - Service: HLYMS - Unknown owner - C:\DOKUME~1\THUNDE~1\LOKALE~1\Temp\HLYMS.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 8062 bytes zu den wehweh'chen kommt, dass seit dieser aktion (post #1) das windows "dateiausführungsverhinderung-programm" nach dem start direkt in windows sämtliche programme blockiert. das beinhaltet autostartporgramme und dienste. eine windows-hilfe dazu lässt sich im allgemeinen auch nicht mehr öffnen, das proggy hatte ich vorher jedoch nicht aktiviert. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
lupo49 Geschrieben 18. Juli 2009 Teilen Geschrieben 18. Juli 2009 zur Info: Die Hijackthis-Logdatei kannst du auch parallel bei http://www.hijackthis.de/ automatisiert auswerten lassen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 19. Juli 2009 Autor Teilen Geschrieben 19. Juli 2009 zur Info: Die Hijackthis-Logdatei kannst du auch parallel bei http://www.hijackthis.de/ automatisiert auswerten lassen. danke dir, gar nicht gewusst. sind 2 einträge vorhanden, die wohl nicht sein sollten. bekämpfe den schädling auf dem system mit diversen programmen. sehe es nicht ein mein system neu aufzusetzen. - malwarebytes - spybot - ad aware - stopzilla - paretologic av plus - gdata av hab mir den reader_s eingefangen. läd auch ständig schadcode ausm inet nach, habe deshalb bei dem infizierten rechner das kabel gezogen es lassen sich dort keine inet verbindungen zur div. antiviren-seiten wie z.b. gdata, kaspersky, .. aufbauen und geschweige denn die programme updaten. das wird ein kampf der vor genau 19 minuten begonnen hat und heute nachmittag spästens (hoffentlich positiv) für mich enden wird. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
allesweg Geschrieben 20. Juli 2009 Teilen Geschrieben 20. Juli 2009 Mit einem solchen Vorgehen entfernst du nur die dem verwendeten Tool bekannten bösartige Programme. Woher willst du wissen, ob nicht auch diesem Tool unbekannte Viren/Trojaner/... drauf sind oder Systemdateien manipuliert wurden? Das einzig saubere ist plattmachen und neu aufsetzen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
afo Geschrieben 20. Juli 2009 Teilen Geschrieben 20. Juli 2009 @allesweg nachdem ich mit dieser Empfehlung hier auch schon Widerspruch geerntet habe, hier eine nicht ganz so weitgehende Empfehlung. Boote das System von einer Boot-CD, wie der c't Notfall CD und scanne es von dort aus. So kannst du auch den Virenscanner gefahrlos aktualisieren. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 21. Juli 2009 Autor Teilen Geschrieben 21. Juli 2009 @allesweg nachdem ich mit dieser Empfehlung hier auch schon Widerspruch geerntet habe, hier eine nicht ganz so weitgehende Empfehlung. Boote das System von einer Boot-CD, wie der c't Notfall CD und scanne es von dort aus. So kannst du auch den Virenscanner gefahrlos aktualisieren. das werde ich auf jeden fall versuchen, ging mir auch schon durch den kopf. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
hAmst0r Geschrieben 23. Juli 2009 Teilen Geschrieben 23. Juli 2009 Hi, ich habe zum Bleistift mit Knoppicillin ? Wikipedia gute Erfahrungen gemacht. Gruß Hamster Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 8. August 2009 Autor Teilen Geschrieben 8. August 2009 sorry für die späte antwort, bin erst jetzt wieder zu hause. bin bis mittwoch da und werde das problem erneut in angriff nehmen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 11. August 2009 Autor Teilen Geschrieben 11. August 2009 (bearbeitet) der kampf geht weiter... ich habe zunächst mehrmals knoppicillin und die gdata antiviren-live-boot cd drüberlaufen lassen. hier wurde einiges entdeckt und entsprechend behoben. darunter litt auch die userinit.exe aus dem system32 verzeichnis. resultat: egal mit welchem user ich mich nach einem normalen (re)boot im windows anmelde, wird dieser sofort wieder abgemeldet. hm ich dachte mir es liegt an der besagten .exe die auch nicht mehr vorhanden war. habe dann mit knoppix gebootet und die userinit.exe manuell von einem stick in das systemverzeichnis kopiert und es erneut versucht mich anzumelden. wieder nicht möglich. nun habe ich mich ein wenig schlauer gemacht und bin auf folgende seiten gestoßen und habe auch schon entsprechende schritte eingeleitet: USERINIT.exe gelöscht und komme nicht mehr zu meinen daten - PC-WELT - FORUM Win XP: Nach Anmeldung, sofort wieder Abmeldung!?? (Seite 1) - Computerhilfen.de wie jedoch komme ich denn an meine registry, wenn ich keinen zugriff auf einen win-user habe, falls im falle eines falles der pfad des eintrags der reg wirklich vermurkst wurde? das mit der Bart-PE-CD hat bei mir auch nciht wirklich gefunzt. die cd wurde zwar normal gebrannt, aber nicht als bootfähig erkannt. das system möchte ich nicht neu aufsetzen bevor win7 nicht released ist. bis dahin ist es zwar nicht mehr so lange, möchte jedoch ganz gerne den rechner wieder nutzen Bearbeitet 11. August 2009 von dan!eL Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
afo Geschrieben 11. August 2009 Teilen Geschrieben 11. August 2009 Dein System ist eigentlich FUBAR. ;-) Die Registry kannst du eventuell von einem anderen PC aus bearbeiten. Dazu auf diesem Regedit starten. Dann Datei - Mit Netzwerkregistrierung verbinden. Benutzen kannst du den Rechner auf jeden Fall temporär mit einer Live-CD wie Knoppix. Zur bootfähigen bart-PE CD: Du darfst nicht einfach nur das ISO drauf brennen (als Datei) sondern mußt in deinem Brennprogramm auswählen ein Image zu brennen. Oder du nimmst gleich ImgBurn. Wenn du dann schließlich Windows 7 installierst: Formatiere auf jeden Fall vorher die Festplatte, damit sicher alles weg ist. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 30. August 2009 Autor Teilen Geschrieben 30. August 2009 das system ist 5 jahre stabil gelaufen ganz ohne beschwerden. habe mich nun schweren herzens doch dafür entschlossen die kiste platt zu machen. hab jetzt win7 drauf und bin sehr zufrieden. vielen dank leute für die hilfe! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gremlin31 Geschrieben 20. September 2009 Teilen Geschrieben 20. September 2009 Nächstes mal eine VM starten, das Ding überwacht infizieren und manuell entfernen (falls die Tools nix finden). Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
volker81 Geschrieben 7. Oktober 2009 Teilen Geschrieben 7. Oktober 2009 habe mir die seite mal angeschaut ( jl.chura.pl ) - da attackiert nichts ... nur mal als info ^^ Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dan!eL Geschrieben 11. Oktober 2009 Autor Teilen Geschrieben 11. Oktober 2009 mittlerweile vielleicht nix mehr. kann mir sonst ned vorstellen was die mit der url sonst bezwecken wollten Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.