Zum Inhalt springen

cmd.exe ruft IE-Seiten eigenständig auf


Empfohlene Beiträge

Geschrieben

Hallo zusammen

Ich beschreibe mal kurz, wo mein Problem liegt: Wenn ich am PC etwas schaffe, spiele, im Internet surfe usw., wird meine Tätigkeit in relativ regelmässigen Abständen unterbrochen, und zwar von einer sich selbst "ausführenden" Datei (keine Ahnung wie man das nennen sollte) namens C:\WINDOWS\system32\cmd.exe. Dieser "Prozess" öffnet - ohne meine Einwilligung - einfach 2 IE-Seiten auf (immer Werbeseiten).

Das Problem habe ich seit ca. 4 Tagen und ich weiss mir wirklich nicht mehr zu helfen, denn ich bin nicht einer, der sich super gut mit dem PC auskennt. Ich habe natürlich schonmal einen Virenscann gemacht, der auch einiges gefunden hat, das Problem aber nicht beheben konnte, und ich habe dieses Programm "HijackThis.exe" mal auf meinem Computer laufen lassen, welches auch wieder einiges fand. Da habe ich auch alles gelöscht, was es mir "empfohlen" hatte, doch eine Verbesserung der Lage? Nein. Noch immer öffnen sich 2 IE-Seiten (ach ja, ich benutze eigentlich nur Mozilla Firefox). Das nervt vorallem während Spielen, welche dann einfach unterbrochen werden...

Ich habe mich ein wenig erkundet, was das sein könnte, und bin dabei auf den Namen bzw. Wurm Nimda-Wurm gestossen. Nur ist der schon gute 4 Jahre alt, was mich ein bisschen wunderte. Kann der noch immer PCs infizieren?

Ich benutze ausserdem Windows XP, habe Norton Antivirus und mein PC ist ein gutes Jahr alt.

Ich hoffe, jemand kann mir weiterhelfen :)

MfG

lauro.d

Geschrieben

Logfile of HijackThis v1.99.1

Scan saved at 17:29:40, on 28.12.2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\CTsvcCDA.EXE

C:\WINDOWS\System32\DVDRAMSV.exe

C:\Programme\Norton AntiVirus\navapsvc.exe

C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Programme\Logitech\iTouch\iTouch.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Programme\HP\hpcoretech\hpcmpmgr.exe

C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe

C:\Programme\HP\HP Software Update\HPWuSchd2.exe

C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Creative\MediaSource\Detector\CTDetect.exe

C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

C:\Programme\little_helper2\little_helper2.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\ATI Technologies\ATI.ACE\cli.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\Raoul\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewar.de/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [b'sCLiP] C:\PROGRA~2\B'SCLI~1\Win2K\BSCLIP.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R

O4 - HKCU\..\Run: [steam] "c:\programme\valve\steam\steam.exe" -silent

O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = ?

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: little_helper2.lnk = C:\Programme\little_helper2\little_helper2.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab30149.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab30149.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

O20 - Winlogon Notify: Uninstall - C:\WINDOWS\system32\ovbc32gt.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE

O23 - Service: DVD-RAM_Service - Matsu****a Electric Industrial Co., Ltd. - C:\WINDOWS\System32\DVDRAMSV.exe

O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Hier die gewünschte Logfile. Wie gesagt, ich habe schon einen Teil gefixed, was mir eben empfohlen wurde. Mal schauen ob ihr mehr rausfindet,

Noch etwas, in den letzten 3 Stunden hatte ich das problem nicht mehr, ich habe allerdings nichts verändert.

Geschrieben

Vielen Dank erstmal für die Antworten. Habe den littlehelper mal gelöscht und bin gespannt auf das Resultat.

Wenn das problem behoben ist, seid ihr die Grössten ;) (Ihr seid auch so genial)

Falls wir uns nicht mehr lesen, ein schönes neues Jahr :)

lauro.d

Geschrieben

Lösch den Kram sonst per "Killbox" ( wenn die File sich weigert - umbenennen und Dummy erstellen ...

Mit kILLbox lässt sich jeder fast jeder Trojaner weglöschen ...

Geschrieben

Ein vernünftiger "Trojaner" läßt sich so gut wie gar nicht bemerken löschen.

Vor allem auf lange durchlaufenden Kisten werden von Leuten mit Plan von der Materie nur noch Tools engesetzt die sich per DLL-Injection einbringen, also noch nicht mal eigene Prozesse forken und komplett im RAM laufen. Die sind mittlerweile so weit evolutioniert das man beliebige DLLs nachladen kann die auch im RAM bleiben. Können natürlich auch auf die Platte schreiben, dann ist es aber recht komplex sie u verstecken da einfache Syscal-Hoks mittlerweile ganz gut zu entdecken sind...

Ich bin recht fit in dem Bereich aber mitlerweile existieren sicher Technken um auch diese Erkennungsvektoren zu umgehen...

Fazit: Wenn jemand mit Wissen versteckt bleiben will tut er das, wer noch als Admin arbeitet oder auf Virenscaner vetraut den kann man nur noch Auslachen...

Jeder gängige Trojaner ist innerhalb einigen Minuten so zu modifizieren das er zu 90 % nicht von gängiger AV-Software erkannt wird da diese immer noch größtenteils signaturbasiert arbeitet. Man ändert ein paar Offsets im Code und fertig...

Ist keine Panikmache --> Ist Fakt...

mfg

cane

Geschrieben
die inject.c Geschichte hat mittlerweile aber schon nen verdammt langen Bart ;)

Kenne ich gar nicht - redest Du von DLL-Injection oder ist das lediglich Source zum Einblenden von Code in den Raum eines Prozesses der dann einen neuen Prozess forked?

mfg

cane

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...