Viren, Spyware, Datenschutz 11.250 Themen, 94.777 Beiträge

Hallo bekomme bei adaware immer kritischen objekte gemeldet

live23 / 2 Antworten / Baumansicht Nickles

possible browser hijack attempt, diese bekomme ich auch nicht weg.
habe mir das programm hijack this heruntergeladen und scane diesen text...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:16, on 19.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\Programme\Medion\PowerCinema\PCMService.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Brother\Brmfcmon\BrMfcmon.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{8648E3CA-2604-455C-9C32-66A593352F1E}: NameServer = 85.255.116.163;85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBC4072F-FBF8-4C60-A274-43284F3795E4}: NameServer = 85.255.116.163;85.255.112.121
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.163;85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.163;85.255.112.121
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 4262 bytes


Wie bekomme ich diesen Fehler wieder weg???

Bitte um Hilfe !!! gruss Mike

bei Antwort benachrichtigen
pema1983 live23 „Hallo bekomme bei adaware immer kritischen objekte gemeldet“
Optionen

@Mike

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:16, on 19.12.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal


Vollkommen ungepatchtes System, indiskutabel.

Wieso gehst Du mit so einem Rechner ins Netz? :-o

Wie bekomme ich diesen Fehler wieder weg???

Indem Du die Festplatte formatierst, alle Partitionen auflöst, neu erstellst und danach das Betriebssystem neu installierst. Aber mit den notwendigen Patches, möglichst offline.

http://sicher-ins-netz.info/schutz/schutz.html

Vorher Daten sichern, aber nur via Live-CD.

http://www.chip.de/downloads/Ubuntu-quot-Intrepid-Ibex-quot_22592231.html

-> über sauberen Zweitrechner laden und die .iso-Datei im Brennprogramm mit der Option: "Image auf Disk brennen" erstellen, hiermit den infizierten Rechner booten und via Ubuntu Deine Daten auf eine externe Platte sichern, vorher prüfen, ob diese auch zu 100% sauber ist.

Etwaige Wechseldatenträger sind ebenfalls ausnahmslos unter Ubuntu zu formatieren.

Dein Rechner gehört nicht mehr Dir, Deine DNS-Anfragen werden auf ukrainische Server umgeleitet.

Vom sauberen System umgehend alle Paßwörter ändern, hast Du Online-Banking gemacht? Kümmer Dich um sofortige Kontosperre, überprüfe die Auszüge, und mache ggfs. vor allem anderen noch ein Beweissicherungs-Image.

Das kann Dir in dem Fall, daß Du Online-Banking über den versifften Rechner gemacht hast, noch gute Dienste leisten. Denn nur mit so einem Image kannst Du nachweisen, daß nicht Du für etwaigen finanziellen Schaden verantwortlich bist, sondern Malware.

bei Antwort benachrichtigen
shrek3 live23 „Hallo bekomme bei adaware immer kritischen objekte gemeldet“
Optionen

Hallo Mike,

damit du nachvollziehen kannst, wie es bei dir aussieht:

Diese Einträge in deinem Logfile beweisen, dass dein Computer von der Ukraine aus kontrolliert wird:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.163;85.255.112.121
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.163;85.255.112.121


Gebe hier mal selber die IP-Adressen ein:
http://www.db.ripe.net/whois

Nach Eingabe der IP 85.255.116.163:
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=85.255.116.163&do_search=Search

Nach Eingabe der IP 85.255.112.121:
http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=85.255.112.121&do_search=Search

Die Kriminellen nennen sich "UkrTeleGroup Ltd." - mit Sitz in Odessa (Ukraine).

Google sagt zu dieser "Tele Group" dieses:
http://www.google.de/search?gbv=2#=50&hl=de&safe=off&q=UkrTeleGroup+Ltd&btnG=Suche&meta=lr%3Dlang_de

Die IP-Adressen besagen nichts weiter, als dass du (wann immer du ins Internet gehst), jede Seitenanfrage von denen registriert wird.
Sie wissen nicht nur, wo du bist, sondern lenken dich nach Belieben auf Webseiten, zu denen du gar nicht hinwolltest.

Wahrscheinlich wird dein Computer auch als "Zombie" eingesetzt - zur Verbreitung von Schädlingen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen