hallo ich hab mir gestern im internet ein paar komische dateien eingefangen.. es fing damit an das mein ativir dauernd warnmeldungen gebracht hat, das die datei xy das trojanische pferd blabla sein oder das die datei yx ein einwahlprogramm ist ok das hatte ich schon öfter und hab mir nix gedacht. heute hab ich den internet explorer geöffnet und dauernd gingen pop-ups auf von irgendwelchen sex-seiten, mein microsoft internet explorer hat eine komische "elitabar" toolleiste mit suche nach "viagra, casions, drugs, erotic" und so einem scheiss..den ordner dazu hab ich in winnnt gefunden und gelöscht, nach einem neutstart ist er aber wieder da. ausserdem hab ich eine "zea:::.exe" anwendung in meinem taskmanager unter prozesse, die auch nach jedem neustart wieder da ist und mir irgendwie verdächtig vorkommt. wenn ich antivir starte, gibt er mir immer folgende fehlermeldung: "die datei zea.exe konnte nicht in das verzeichnis xy eingefügt werden" ich weis nicht was ich jetzt noch machen kann..antivir ist auf dem neusten stand und gecheckt hab ich schon, ich hab xp-antispy und ad-aware, aber diese toolbar ist noch da, die zea datei auch und die popups sind auch nicht weg!! was kann ich denn jetzt machen?? *HELP* ich hoffe ihr könnt mir helfen!!
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Es dürfte dies helfen klick mich
so, ich hab mir das tool runtergeladen und alles verdächtige entfernt..zea.exe ist weg. diese "elitabar" toolleiste konnte ich vorher im internet explorer mit rechtsklick ausblenden, jetzt wird sie nicht mehr in internet explorer aufgelistet oder angezeigt, aber der ordner ist noch im "WINNT" ordner. leider kommen auch noch die pop-ups - das ist immer ein kleines fenster mit "search results" und dann irgendwelchen sites..kann es sein das ich noch mehr dateien in dem "hijackthis" löschen muss? ich hab halt erstmal vorsichtig gemacht eben! =)
mfg
samfisher
wenn du english kannst lies bitte das:
http://www.microsoft.com/technet/archive/community/columns/security/essays/10imlaws.mspx
na dann kopiere doch mal dein hijackthis logfile hier rein.
dann können wir dir vieleicht helfen.
@solitsnake - oder es wird der Inhalt des Logfiles gleich in die Auswertungsbox von www.hijackthis.de kopiert ...
Was steht eigentlich so in deiner hosts-Datei; dürfte ne ziemliche Latte sein und wahrscheinlich taucht auch immer dieselbe IP-Nummer darin auf, oder?
Armes Deutschland!
hosts-datei? was ist das denn jetzt?
Mach doch einfach mal ein Explorerfenster auf und such nach einer Datei mit Namen hosts.
Bei mir steht sie hier drin:
C: WINDOWS system32 drivers etc
(Denk dir für die Leerstellen Backslashs rein, ich hab Urlaub und werde den Teufel tun und mich mit html abmühen.)
Die Datei ist standardmäßig 1 KB groß. Bei dir dürfte sie ein wenig größer sein. Schau mal nach.
Kleiner Denkanstoß: wenn du auf Postings antwortest, mach das doch einfach per re (Antwort kommentieren), dann kommt in der Regel auch ein Posting von demjenigen zurück der dich zuerst angesprochen hat und von dir wiederum eine neue Antwort darauf erhalten hat.
Armes Deutschland!
so, hier mal mein hijackthis-verzeichnis..ich hoffe ihr könnt was mit anfangen, die datein sagen mir alle nur ein bisschen was..aber irgendwas muss noch da sein,denn es gehn immer noch pop-ups und warnmeldungen von antivir wegen trojanern und sowas auf...trotzdem schonmal danke für eure hilfe!!!
Logfile of HijackThis v1.97.7
Scan saved at 20:57:25, on 20.09.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\essspk.exe
C:\WINNT\loadqm.exe
C:\Programme\AntiVir\AVGNT.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\WINNT\system32\golumm\services.exe
C:\WINNT\system32\twink64.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
C:\PROGRA~1\INTERN~1\IEXPLORE.EXE
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Alex1\gamma.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\rundlg32.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINNT\system32\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Sys29] C:\winnt\system32\winhof32.exe
O4 - HKCU\..\Run: [quicken] C:\WINNT\quicken.exe
O4 - HKCU\..\Run: [editpad] C:\WINNT\editpad.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.323275463
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F535414E-94A8-4F8C-BCDC-820CB54DC781}: NameServer = 217.237.150.33 217.237.151.161
die O15 (Trusted Zone...) erscheinen mir irgendwie verdächtig..wisst ihr was das sein könnte??
@solitsnake - tja, "Hijackthis" Logfile Auswertung in HTML Form gem. obigem Link hat Dich zwar arbeitlos gemacht, aber das Teil hat eben hochgradige HARTZ IV Features und warum kompliziert machen, wenn´s einfach geht ... d8(|)...
>das die datei xy das trojanische pferd blabla sein oder das die datei yx ein einwahlprogramm ist ok das hatte ich schon öfter und hab mir nix gedacht.
Klar, Denken ist ja heutzutage offensichtlich auch "out".
Setz das System neu auf und sichere es zukünftig vernünftig ab - dieses Mal dann aber bitte mit Denken!
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
ich meinte damit, ´das ich sowas schon öfter mal hatte aber auch wieder wegbekommen habe mit antivir usw. das sollte ja nicht bedeuten das mir das egal war
Mit "wegbekommen" irrst du. Das ist bei einer Infektion des Systems mit der von dir genutzten Methode gar nicht sicher möglich. Außerdem sollte es doch nachdenklich stimmen, wenn sowas fortwährend passiert. Das kann ja kein Dauerzustand sein.
kann ich die datein im hosts-ordner löschen? der ordner ist bei mir 20,6kb (!) groß..
danke für die auswertung von hijackthis, ich werd gleich mal die "bösen" datein löschen und dann schreib ich nochmal!!
O4 - HKLM\..\Run: [golumm] C:\WINNT\system32\golumm\services.exe
O4 - HKCU\..\Run: [sysinit] C:\WINNT\system32\golumm\services.exe
beide datein erscheinen, obwohl ich sie mit hijackthis gefixt habe, nach einem neustart wieder in meinem logfile..und beide werden als "böse" eingestuft.
thx
Hast du zufällig ne ziemlich hohe Systemauslastung? Und was verstehst du unter dem "Ordner" hosts?
Und noch mal, es wäre schön, wenn du mit deinen Antworten im Kontext bleiben würdest. Ansonsten gehe ich nämlich davon aus, dass du auf meine Hilfe gut und gern verzichten kannst. Viel Spaß vor allem aber Glück dann noch.
Armes Deutschland!
ich möchte auf deine hilfe nicht verzichten, es ist nur so, das ich mich hier kaum auskenne und sonst eigentlich nie in foren poste. sorry das ich mich hier wie ein n00b benehme :)
zu deiner frage:
nein, meine pc-auslastung ist eigentlich normal (CPU-Nutzung ist bei ca. 2-6%), manchmal schwankt sie jedoch auf bis zu 40% hoch.
mein HOSTS-ordner liegt in C:\WINNT\system32\drivers\etc
da gibt es einen HOSTS-ordner (in dem sind alle möglichen internetadressen aufgelistet) und einen HOSTS.bak-ordner.
du meintest ja, das dieser hosts-ordner normalerweise 1kb groß ist, und bei mir hat er eben 21kb, und deswegen wollte ich wissen ob ich da was löschen kann.
thx & mfg
samfisher20041
So wie ich das sehe hast du dir mehrere Sachen gezogen. Du benutzt auch keine Personal Firewall, die unbestreitbar besser ist als keine. Versuche es in Zukunft mit Outpost, Kerio oder auch Zone Alarm (selbst die ist besser als garnichts). Dann schau noch mal in deine hosts-Datei, sie ist doch wohl eine Datei und kein Ordner, steht da unter dem Blabla von Microsoft immer wieder ein und dieselbe IP-Adresse der viele www-Adressen zugeordnet sind? Wenn ja, dann leitet irgend ein cleveres Kerlchen dich über seine Page zu irgendwelchen "Werbepartnern". Sollte dies wirklich zutreffen nehme ich mal ganz schwer an, dass nach dem Installieren der Firewall du bei jedem Neustart darauf hingewiesen wirst, dass da immer ein und dasselbe Programm online gehen möchte. Weiter hat, meiner Meinung nach, dein Browser in der Registry ein paar zusätzliche Einträge über sich ergehen lassen müssen, damit dieser Dialer auch online gehen kann. Vielleicht hast du ja auch eine neue Startseite eingetragen bekommen.
Armes Deutschland!
ja, das vermute ich auch, das ich mehrere sachen hab. eine firewall habe ich bisher nicht benutzt, ich werde mir aber gleich eine von den von dir genannten installieren.
in meiner hosts-datei stehen auf der linken seite immer die gleiche nummer und rechts dann alphabetisch geordnet jede menge internetadressen. wie gesagt, der ordner ist ziemlich voll und 21kb groß.
wie gesagt, ich installiere jetzt gleich mal eine kostenlose firewall, und dann werde ich mal gucken, ob deine vermutung zutrifft, dass ein programm danach online gehen will.
nachdem ich die hijackthis-auswertung bekommen habe, habe ich nochmal viel gelöscht, und zur zeit plagen mich nur noch diese nervigen pop-ups, die meistens in einem schwall von drei-vier stück hintereinander kommen. zu sehen ist immer ein fenster mit suchergebnissen wie zb. bei google.
mfg
samfisher20041
ok ich hab mir jetzt zone alarm runtergeladen, und wenn ich ins internet gehe kommen oft warneldungen mit dem text:
"die firewall hat einen internet-zugriff auf ihren computer von 217.246.171.61 gesperrt"
das hatte ich nach 5 minuten bereits 28 mal!
was genau bedeutet das?
nachdem ich auch noch mein adaware upgedatet hab hat es 25 verdächtige datein entdeckt, die ich alle gelöscht habe. die pop-ups kommen aber immer noch.
Hast du eigentlich die hosts-Datei (sie ist kein Ordner, was hast du bloß mit deinem Ordner?) um diese dubiosen Einträge erleichtert und dann nach einiger Zeit mal wieder reingeschaut, ob sie sich erneut versammelt haben?
Du erlaubst übrigens trotz Zonealarm dem Dialer anscheinend weiterhin sein Unwesen zu treiben; hattest du eigentlich geschrieben, ob du DSL hast?
Es könnte natürlich auch ein Wurm sein, ganz sicher bin ich mir nicht, aber Zone Alarm sondert einen Dialer in der Regel aus und zeigt ihn dir. In deinem unteren Posting deutet die erste Datei vielleicht am ehesten auf den Übeltäter hin, sperr ihr den I-Netzugriff und sieh mal weiter. Wenn es eine wichtige Datei sein sollte kannst du sie ja später jederzeit wieder freigeben.
Du musst möglichst alles relativ gleichzeitig eliminieren und dabei das Netz kappen. Allerdings scheint eine Neuinstallation wesentlich sicherer und unproblematischer als diesen Weg zu beschreiten.
Armes Deutschland!
also wie gesagt meine hosts-datei ist voll mit allen möglichen adressen, kann ich die denn einfach so löschen? da war ich mir nicht sicher, gelöscht habe ich deshalb noch nichts. kann ich die adressen mit der nummer links einfach löschen?
nein ich besitze leider kein dsl, das geht bei mir nicht wegen glasfaserkabeln, ich gehe mit einem 56k modem ins netz.
was ich jetzt auch 2 mal hatte: mein pc ist einfach neugestartet, das war aber nur 2 mal bisher..kommt mir trotzdem verdächtig vor..aber ein wurm erscheint mir unwarscheinlich weil ich doch antivir habe..einen wurm müsste es doch erkennen oder?
mit dem formatieren und von vorne anfangen habe ich mir auch schon überlegt..allerdings habe ich so viele sachen, die ich mir auf cd brennen müsste, und das ist halt alles ziemlich umständlich...das problem zu lösen allerdings auch :(
ok ich werde "spooler subsystem app (spoolsv.exe)" mal nicht erlauben, wenn es wieder versucht online zu gehen.
was mich auch verunsichert: ich habe bei zone alarm bereits 727 sogenannte "eindringversuche" gehabt!!
hast du noch irgendeine idee, was ich machen könnte?
thx & mfg
samfisher20041
Hi,
deine hosts-Datei sah ursprünglich einmal so aus:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost
127.0.0.1 localhost
Alles was zusätzlich dazugekommen bzw. gelöscht wurde, hast du entweder selber, ein Bekannter von dir oder dieser Dialer/Wurm hingekriegt.
Geh bei deinen jetzt folgenden Tätigkeiten möglichst nicht online und notiere dir jede noch so kleine Änderung die du am System vornimmst, damit du sie nachher wieder rückgängig machen kannst. Sei mit dem Löschen von Dateien oder Einträgen sehr vorsichtig und benenne lieber um bzw. verschiebe oder im Falle von Einträgen, wenn du sie schon entfernst, speichere sie dir in einer anderen z. B. Text-Datei ab. Dokumentation ist das A und O!
Wenn du dir sicher bist, dass da keiner, der dir etwas gutes wollte, Eintragungen vorgenommen hat, dann benenne die hosts-Datei von hosts in hosts.verseucht um und nimm die Zeilen von mir da oben als Inhalt deiner neuen hosts-Datei.
Schau mal nach, was so alles unter unter Start->Programme->Autostart angezeigt wird. Notfalls kannst du den Ordner Autostart umbenennen, dann werden die Einträge nicht mehr berücksichtigt.
Alles was jetzt kommt würde ich an deiner Stelle nur machen, wenn ich genau wüsste, was ich da mache bzw. wenn ich ein Backup meiner Systempartition in der Hinterhand hätte. Genau genommen ist es nicht weiter gefährlich, aber du kannst dir dein System schon lahmlegen und deshalb wärst du mit einem Backup wirklich auf der sicheren Seite.
So, geh dann jetzt mal in deine Registry (Start->Ausführen->regedit) und schau unter diesen Einträgen mal nach dem Rechten:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Unter diesem Zweig siehst du die Programme, die Windows ebenfalls beim Systemstart automatisch ausführt. Schreibe, wenn dir etwas komisch vorkommt ein "rem" in den Wert eines Schlüssels, dann wird die Aktion nicht ausgeführt.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
Unter diesem Registryzweig oder einem ähnlichen, falls du einen anderen Browser benutzt, steht die Startseite, die beim Öffnen des Browsers geladen werden soll. Kontrolliere auch hier mal was Sache ist und ersetze falls nötig den Eintrag z. B. mit www.nickles.de.
Sowohl die Einträge unter "Run" als auch die, die für die Startseite deines Browsers zuständig sind, können mehrmals auftauchen. Ändere alle, aber vergiß nicht zu notieren, was du geändert hast! Manchmal genügt auch eine Änderung an einer Stelle in der Registry und sie wird automatisch an anderer Stelle ebenfalls geändert; sicher bist du da erst, wenn der Rechner neu gestartet wurde.
Wenn du dann noch die Tätigkeit des Dialers/Wurms per Firewall unterbunden hast und dann noch heraus bekommst, welche Datei(en) für das Teil zuständig sind, dann hast du es geschafft. Aber dafür musst du dich höchstwahrscheinlich mit Diensten auskennen und ins Eingemachte gehen können.
Wie bereits erwähnt eine Neuinstallation ist einfacher. Und wenn du einmal ein sauberes System hast, leg dir ein Backup an. Und nicht nur ein Backup sondern mindestens zwei, von denen du immer das ältere Überspielen kannst, wenn dein System stabil läuft und du ein neues Backup anlegst. Man hangelt sich, bei zwei Backupdateien, sozusagen von einer Backupgeneratin zur übernächsten.
Armes Deutschland!
hi
ja so ähnlich sah meine hosts-datei aus; ich habe jetzt alle adressen gelöscht, jetzt ist die datei nur noch 529kb groß.
unter start->programme->autostart befindet sich bei mir nur microsoft office, sonst nichts.
in der registry musste ich dann leider passen, da hab ich keine ahnung von und war ein bisschen überfordert ;-)
mir ist aber noch eine datei aufgefallen:
hosts.bak unter C:\WINNT\system32\drivers\etc (da wo auch die hosts-datei ist)! diese datei enthält folgenden inhalt:
127.0.0.1 localhost
64.237.53.4 ad.doubleclick.net
64.237.53.4 aff.weatherbug.com
209.87.155.230 date.com
64.237.53.4 doubleclick.net
64.237.53.4 my.search
gerade wegen "my.search" bin ich drauf aufmerksam geworden..hast du auch eine "hosts.bak" datei in dem ordner oder sagt dir der name was?
vielleicht ist das ja was verdächtiges..
wegen den backups: wie mache ich denn am besten ein backup: einfach alles was wichtig ist auf cd's brennen? kann ich das jetzt noch machen oder ist das risiko, die dateien nur mitzukopieren und später auf das neue system wieder draufzubringen, zu groß?
danke für deine hilfe!!! =)
mfg
samfisher20041
Keine Ahnung, welche Dateien für dich wichtig sind. Aber ich würde alle persönlichen Dateien sichern, z. B. durch deine Methode mit dem Brennen. Dann die Festplatte aber auch sowas von löschen und neuinstallieren.
Die wichtigsten Programme für deine halbwegs sichere Zukunft hast du ja jetzt kennengelernt. Zu Backups und den Programmen dafür stellst du am Besten noch mal separate Suchen hier an. TrueImage, Ghost und das wohl nicht mehr weiterentwickelte Drive Image seien hier erwähnt; es gibt allerdings noch ein paar mehr und manche sind auch nicht allzu teuer, wobei ca. 50 € für deine zukünftige Sicherheit dürften ja wohl nicht zuviel sein (die Telefonrechnung könnte durch unglückliche Umstände leicht leicht höher werden).
Armes Deutschland!
ok, dann werde ich nochmal rumfragen, was man mir in sachen backups empfehlen kann :)
noch mal vielen dank für deine hilfe!!!! =)
mfg
welchen programmen kann ich mit meiner firewall den zugriff aufs internet erlauben?
bei folgenden programmen bin ich mir nicht sicher:
-tonchkml.exe
-generic host process for win32 services (services.exe)
-spooler subsystem app (spoolsv.exe)
kennt jemand diese datein?
thx
samfisher20041