Hi, der titel sagt´s: Bitte schaut es euch mal an:
Logfile of HijackThis v1.97.7
Scan saved at 19:52:37, on 04.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\temp\salm.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
C:\Programme\ACD Systems\ACDSee\ACDSee.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\download-Programme\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~2.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - Global Startup: ImageFox.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSIns ... b?url=http:
//www.viewpoint.com/cgi-bin/compaq.v2/vet_install_popup.pl?1&4&04.00.05.04&http
://h71016.www7.hp.com/html/interactive/DL380G3/model.html
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c2.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/sh ... wflash.cab
danke
michback
Warum kostenlos registrieren?
Nur als registriertes Mitglied hast Du vollen Zugriff auf alle Funktionen unserer Website. So kannst Du eigene Fragen stellen und hast die volle Übersicht über neue interessante Themen im Forum.
Jetzt kostenlos registrieren.
Login
hilfe ! Hab mir üble Viren eingefangen
3 Beiträge • Seite 1 von 1
von Nikita am 04.12.2004, 21:09
Hallo@michback
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSIns ... tream3.cab?
url=http://www.viewpoint.com/cgi-bin/compaq.v2/vet_install_popup.pl?
1&4&04.00.05.04&http://h71016.www7.hp.com/html/interactive/DL380G3/model.
html
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c2.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab
neustarten
#Lade: HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
c:\temp\salm.exe
Erst beim letzten klickst du "Yes" und startest den PC neu.
Loesche:
<C:\Programme\Web_Rebates
<C:\Program Files\Windows TaskAd
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#C:\Windows\Downloaded Programm Files\ -->löschen (alle loeschen, bis auf ebay und Macromedia (!!!))
ActiveX loeschen:
http://www.microsoft.com/germany/ms/win ... ctivex.htm
#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php
arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [Windows TaskAd] C:\Program Files\Windows TaskAd\WinTaskAd.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSIns ... tream3.cab?
url=http://www.viewpoint.com/cgi-bin/compaq.v2/vet_install_popup.pl?
1&4&04.00.05.04&http://h71016.www7.hp.com/html/interactive/DL380G3/model.
html
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/Click ... dge-c2.cab
O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packa ... anager.cab
neustarten
#Lade: HijackThis/1.98.2 :
http://www.downloads.subratam.org/hijackthis.zip
1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\Program Files\Windows TaskAd\WinTaskAd.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\Downloaded Program Files\bridge.dll
4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.
c:\temp\salm.exe
Erst beim letzten klickst du "Yes" und startest den PC neu.
Loesche:
<C:\Programme\Web_Rebates
<C:\Program Files\Windows TaskAd
Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k
#C:\Windows\Downloaded Programm Files\ -->löschen (alle loeschen, bis auf ebay und Macromedia (!!!))
ActiveX loeschen:
http://www.microsoft.com/germany/ms/win ... ctivex.htm
#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php
arbeite das ab:
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
Zuletzt geändert von Nikita am 04.12.2004, 21:25, insgesamt 3-mal geändert.
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
von Nikita am 04.12.2004, 21:16
TEST MS-IE 6, SP1
zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".
Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)
Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne
Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.
In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist
Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
zeigt das Resultat eines einzigen Seiten-Aufrufs im
Die Situation wurde in diesem Fall bewusst herbeigeführt. Die Seite aber ist nicht speziell für Testzwecke
konstruiert, sondern ist nur ein unter vielen, die Schwachstellen des IE ausnutzen.
Als Browser wurde ein
• IE 5.0 (1. Test)
• IE 6, SP1, gepatcht (2. Test)
unter Win98 verwendet.
• Das Bemerkenswerte ist, dass sich die Ergebnisse (Test1, Test2) im Grunde nicht unterscheiden !
Die Sicherheitsstufe war in beiden Versuchen auf "Mittel", also "Auslieferungszustand".
Das Protokoll besteht aus 3 Teilen:
• Modifikationen im System bei/durch den Seitenaufruf
• HijackThis-Log (ausgewertet)
• Virenscan (KAV)
Ein erster Scan mit Ad-Aware nach einem Seitenaufruf lässt schon Böses erahnen:
• 98 (!!) Objekte gefunden 1 Process
• 32 Registry-Schlüssel
• 53 Registry Werte
• 11 Dateien
• 1 Ordne
Resumée:
Der wunde Punkt ist die ActiveX-Technologie und Microsofts "JV Virtual Machine" für Java. Fast alle Malware, Parasiten, Backdoors, etc wurden hier mittels ActiveX auf das System geschleust, ein anderer Teil eben dadurch , dass "JV Virtual Machine" im Browser aktiviert ist. Ersetzt man sie durch Java von "SUN", findet zwar ebenfalls ein Download der Malware statt, jedoch keine Infektion. Generell Java deaktivieren und nur wenn benötigt zuschalten, ist auf jeden Fall ratsam; gänzlich unabhängig vom verwendeten Browser.
In Anlehnung auf einen Browsertest in BILD, möchte ich bemerken, dass ist es eben nicht nur entscheidend ist, wieviele Klicks man benötigt um sein "Lieblings-Bookmark" abzuspeichern oder dergleichen völlig sekundären Dinge. Die Funktionalität der "Browserkonkurrenten" ist ohnehin bestechend gut. Der für mich aber erschreckenste Punkt ist, dass der Anzahl der schadhaftem Elemente, die durch einen Seitenaufruf mit dem IE auf den Rechner gelangen können, keine Grenzen gesetzt sind. Im Grunde reicht ein (falscher) Klick, um das komplette System zu ruinieren und sogar persönliche Daten in Gefahr zu bringen. Ein weiteres Problem ist, dass viele der installierten Elemente im Hindergrund arbeiten und weitere Malware auf den Rechner laden, bzw. Tür und Tor für Angreifer öffnen.
------------------------------------------------------------------------------------
Solche Downloader stecken in aktiven Skripten von Warez oder Pornoseiten-->>IE wenn ActiveX-Control aktiviert ist
Das Skript versucht zunächst ein ActiveX-Control automatisch zu installieren, indem es eine CODEBASE angibt, die auf eine externe CAB-Datei verweist. Klappt das nicht (onerror), erscheint eine Meldung, dass man zur Installation des Spieles "Yes" klicken müsse, und das Skript versucht es erneut
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/ ... ndex1.html
- Nikita
- Moderator
- Beiträge: 11478
- Registriert: 07.12.2003, 16:53
- Wohnort: Lissabon
3 Beiträge • Seite 1 von 1
Ähnliche Themen
| HILFE ALLE MEINE ORDNERBERECHTIGUNG SIND WEG HILFE BITTE Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Anti-Viren Software... Forum: Software-Hilfe Autor: Anonymous Antworten: |
Hilfe zu SpamNet von Cloudmark Forum: Software-Hilfe Autor: Anonymous Antworten: |
HILFE, mein Laptop ist und bleibt im Standy-Modus! Forum: Hardware-Hilfe Autor: anitram Antworten: |
Bluescreen-Hilfe Forum: Hardware-Hilfe Autor: Anonymous Antworten: |
Zurück zu Online- und PC-Sicherheit
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste