Unverständliche Meldung

gilian
Board-Champion

Beiträge: 4301

Habe meine Anti-Spyware durchlaufen lassen.
Ist gleich der Virenchecker ins Bild gesprungen und hat mir EXPLOID. IMG.WMF angezeigt.
Dann kam ein Fenster von der Anti-Spyware mit dem Text:

UNVORHERGESEHENE SPY-KATEGORIE BEIM EINFÜGEN VON SPYWARE IN DIE VERZEICHNISSTRUKTURANZEIGE!

Also den Satz versteh ich mal gar nicht.

Das ganze passiert seit einiger Zeit jedesmal beim durchlaufen meiner Antispyware Steganos 7.
Dieses Textfenster kommt auch von Steganos selbst.

LG
gilian

Gotti
Board-Champion

Beiträge: 4498

..das ist eine Warnmitteilung für einen Trojaner. Mach mal sicherheitshalber ein Logfile und kopiere es ins Forum, damit wir mal checken können, ob du was " gefangen" hast.

Gotti

Gotti
Board-Champion

Beiträge: 4498

hier ist die Logfile-Anleitung.

gilian
Board-Champion

Beiträge: 4301

Scan saved at 16:44:10, on 17.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\IKAutoUp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [Guard NT] C:\Programme\Aon\AonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O17 - HKLM\System\CCS\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH

gilian
Board-Champion

Beiträge: 4301

Gotti
Board-Champion

Beiträge: 4498

...ja, ich schau jetzt mal nach..

Mr. Not Perfect
Boardmeister

Beiträge: 673

Soweit ich weiß sind .wmf files spezielle Bilddateien von Microsoft Picture IT!. Aber kann natürlich auch ein Trojaner sein!

Ich hab mal gesucht..

Zitat:
Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß
Das neue Jahr beginnt wie das alte endete, die Ausnutzung einer Sichrheitslücke in der Behandlung von WMF-Dateien in Windows zieht weitere Kreise. Das Sicherheitsunternehmen Idefense meldet, dass diverse Websites die Schwachstelle ausnutzen, um schädlichen Programm-code einzuschleusen. Ferner berichten Idefense und F-Secure über Mails mit angeblichen Neujahrsgrüßen, die eine virulente Bilddatei enthalten.

Diese Mails kommen mit einem Betreff wie "Happy New Year" und dem Text "picture of 2006". Sie enthalten eine Bilddatei "HappyNewYear.jpg" (53.608 Bytes). Dabei handelt es sich trotz der JPG-Endung um eine Datei im WMF-Format (Windows Meta File). Sie enthält Code, der auch mit dieser Dateiendung die kürzlich bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) ausnutzt und sich von den in der letzten Woche gesichteten Exploits deutlich unterscheidet.

<A HREF="http://ad.de.doubleclick.net/click%3Bh=v5|33ab|3|0|%2a|o%3B28992873%3B0-0%3B0%3B9494987%3B31-1|1%3B15375432|15393328|1%3B%3B%7Esscs%3D%3fhttp%3A%2F%2Fmacwelt.websale.biz/cgi/websale5.cgi?shopid=macwelt&list-file=sohe_tipps.wp5&product-number=mws0603" TARGET="_blank"><IMG SRC="http://adserver.idgverlag.de/banner/macwelt/vertrieb/http://adserver.idgverlag.de/banner/macwelt/vertrieb/060310_mw_mpu_204_02.gif" WIDTH="336" HEIGHT="180" ALT="Click here..." BORDER="0"></a>

Wird die Datei durch eine anfällige Anwendung geöffnet, etwa durch die "Windows Bild- und Faxanzeige", wird der enthaltene Programm-Code aktiv. Dieser lädt über den Internet Explorer eine Datei aus dem Internet herunter und legt sie als "luckly[1].exe" (39.423 Bytes) im Verzeichnis "Temporary Internet Files" ab. Diese wird dann als "nerodll.exe" in das System32-Verzeichnis von Windows kopiert. Der Dateiname soll offenkundig den Eindruck erwecken, es handele sich um eine Programmdatei des CD-Brennprogramms "Nero". Diese Datei wird in der Registry verankert, damit sie bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ Installed Components\{8B75D81C-C498-4935-C5D1-43AA4DB90836}
"stubpath" = C:\WINDOWS\system32\nerodll.exe s

Es handelt sich hierbei um ein Trojanisches Pferd aus der "Bifrose"-Familie. Es nimmt Kontakt mit zwei Servern auf, von denen der eine in China, der andere in den USA steht. Von dort holt es sich neue Anweisungen. Befallene PCs können so aus der Ferne überwacht und gesteuert werden.

Scheint wohl ein Trojaner zu sein!

Gruß

Kris

Gotti
Board-Champion

Beiträge: 4498

wenn Du hier frauf klickst, siehst Du die Auswertung. Im Prinzip nichts Auffälliges, http://www.hijackthis.de/index.php#anl, die beiden Einträge

[Link zum eingefügten Bild] würde ich aber sicherheitshalber mal fixen=beseitigen.
Wie das einfach geht, steht auch in der Logfileanleitung.

Gotti

gilian
Board-Champion

Beiträge: 4301

Gotti Du bist Spitze!
Kris Dir auch ein Dankeschön!
So die Auswertung hab ich jetzt und verschiedene Dinge sind zum fixen.

Das Fenster wo man fixt hab ich ,aber die Auswertung ist woanders.
Muss ich jetzt das was zum fixen ist mir abschreiben oder geht das anders?
Schnauf

caboehmer
Boardkaiser

Beiträge: 2633

Hallo zusammen,
195.3.96.67 und ...68 sind ja Nameserver - haben also nichts mit gilians System zu tun. Warum werden dann diese Einträge aufgeführt? Bei mir kommt so ein Eintrag nicht vor!?
MfG Carsten

gilian
Board-Champion

Beiträge: 4301

Grad wollt ich fragen ich hab 2 Dinge die so aussehen:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.

Wie soll ich die IP kennen?
Das fixen bringt mich um.
Wollt jetzt die Auswertung ausdrucken das ich auch weiß was ich fix, ist wieder das Wichtigste nicht drauf, stöhn

Version 3.1 | Load: 0.004611 | S: 1_2

Autor	Mitteilung
gilian Board-Champion Beiträge: 4301	Gesendet: 16:15 - 17.03.2006 Habe meine Anti-Spyware durchlaufen lassen. Ist gleich der Virenchecker ins Bild gesprungen und hat mir EXPLOID. IMG.WMF angezeigt. Dann kam ein Fenster von der Anti-Spyware mit dem Text: UNVORHERGESEHENE SPY-KATEGORIE BEIM EINFÜGEN VON SPYWARE IN DIE VERZEICHNISSTRUKTURANZEIGE! Also den Satz versteh ich mal gar nicht. Das ganze passiert seit einiger Zeit jedesmal beim durchlaufen meiner Antispyware Steganos 7. Dieses Textfenster kommt auch von Steganos selbst. LG gilian
Gotti Board-Champion Beiträge: 4498	Gesendet: 16:30 - 17.03.2006 ..das ist eine Warnmitteilung für einen Trojaner. Mach mal sicherheitshalber ein Logfile und kopiere es ins Forum, damit wir mal checken können, ob du was " gefangen" hast. Gotti
Gotti Board-Champion Beiträge: 4498	Gesendet: 16:33 - 17.03.2006 hier ist die Logfile-Anleitung.
gilian Board-Champion Beiträge: 4301	Gesendet: 16:45 - 17.03.2006 Scan saved at 16:44:10, on 17.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Acer\eManager\anbmServ.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\AGRSMMSG.exe C:\Programme\ltmoh\Ltmoh.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe C:\WINDOWS\system32\IKAutoUp.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Steganos AntiSpyware 7\aspy7.exe C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG O4 - HKLM\..\Run: [Guard NT] C:\Programme\Aon\AonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835 O17 - HKLM\System\CCS\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68 O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH
gilian Board-Champion Beiträge: 4301	Gesendet: 16:46 - 17.03.2006 Richtig so?
Gotti Board-Champion Beiträge: 4498	Gesendet: 16:49 - 17.03.2006 ...ja, ich schau jetzt mal nach..
Mr. Not Perfect Boardmeister Beiträge: 673	Gesendet: 16:50 - 17.03.2006 Soweit ich weiß sind .wmf files spezielle Bilddateien von Microsoft Picture IT!. Aber kann natürlich auch ein Trojaner sein! Ich hab mal gesucht.. Zitat: Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß Das neue Jahr beginnt wie das alte endete, die Ausnutzung einer Sichrheitslücke in der Behandlung von WMF-Dateien in Windows zieht weitere Kreise. Das Sicherheitsunternehmen Idefense meldet, dass diverse Websites die Schwachstelle ausnutzen, um schädlichen Programm-code einzuschleusen. Ferner berichten Idefense und F-Secure über Mails mit angeblichen Neujahrsgrüßen, die eine virulente Bilddatei enthalten. Diese Mails kommen mit einem Betreff wie "Happy New Year" und dem Text "picture of 2006". Sie enthalten eine Bilddatei "HappyNewYear.jpg" (53.608 Bytes). Dabei handelt es sich trotz der JPG-Endung um eine Datei im WMF-Format (Windows Meta File). Sie enthält Code, der auch mit dieser Dateiendung die kürzlich bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) ausnutzt und sich von den in der letzten Woche gesichteten Exploits deutlich unterscheidet. <A HREF="http://ad.de.doubleclick.net/click%3Bh=v5\|33ab\|3\|0\|%2a\|o%3B28992873%3B0-0%3B0%3B9494987%3B31-1\|1%3B15375432\|15393328\|1%3B%3B%7Esscs%3D%3fhttp%3A%2F%2Fmacwelt.websale.biz/cgi/websale5.cgi?shopid=macwelt&list-file=sohe_tipps.wp5&product-number=mws0603" TARGET="_blank"><IMG SRC="http://adserver.idgverlag.de/banner/macwelt/vertrieb/http://adserver.idgverlag.de/banner/macwelt/vertrieb/060310_mw_mpu_204_02.gif" WIDTH="336" HEIGHT="180" ALT="Click here..." BORDER="0"></a> Wird die Datei durch eine anfällige Anwendung geöffnet, etwa durch die "Windows Bild- und Faxanzeige", wird der enthaltene Programm-Code aktiv. Dieser lädt über den Internet Explorer eine Datei aus dem Internet herunter und legt sie als "luckly[1].exe" (39.423 Bytes) im Verzeichnis "Temporary Internet Files" ab. Diese wird dann als "nerodll.exe" in das System32-Verzeichnis von Windows kopiert. Der Dateiname soll offenkundig den Eindruck erwecken, es handele sich um eine Programmdatei des CD-Brennprogramms "Nero". Diese Datei wird in der Registry verankert, damit sie bei jedem Windows-Start geladen wird: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ Installed Components\{8B75D81C-C498-4935-C5D1-43AA4DB90836} "stubpath" = C:\WINDOWS\system32\nerodll.exe s Es handelt sich hierbei um ein Trojanisches Pferd aus der "Bifrose"-Familie. Es nimmt Kontakt mit zwei Servern auf, von denen der eine in China, der andere in den USA steht. Von dort holt es sich neue Anweisungen. Befallene PCs können so aus der Ferne überwacht und gesteuert werden. Scheint wohl ein Trojaner zu sein! Gruß Kris
Gotti Board-Champion Beiträge: 4498	Gesendet: 17:00 - 17.03.2006 wenn Du hier frauf klickst, siehst Du die Auswertung. Im Prinzip nichts Auffälliges, http://www.hijackthis.de/index.php#anl, die beiden Einträge [Link zum eingefügten Bild] würde ich aber sicherheitshalber mal fixen=beseitigen. Wie das einfach geht, steht auch in der Logfileanleitung. Gotti
gilian Board-Champion Beiträge: 4301	Gesendet: 17:48 - 17.03.2006 Gotti Du bist Spitze! Kris Dir auch ein Dankeschön! So die Auswertung hab ich jetzt und verschiedene Dinge sind zum fixen. Das Fenster wo man fixt hab ich ,aber die Auswertung ist woanders. Muss ich jetzt das was zum fixen ist mir abschreiben oder geht das anders? Schnauf
caboehmer Boardkaiser Beiträge: 2633	Gesendet: 17:50 - 17.03.2006 Hallo zusammen, 195.3.96.67 und ...68 sind ja Nameserver - haben also nichts mit gilians System zu tun. Warum werden dann diese Einträge aufgeführt? Bei mir kommt so ein Eintrag nicht vor!? MfG Carsten
gilian Board-Champion Beiträge: 4301	Gesendet: 18:08 - 17.03.2006 Grad wollt ich fragen ich hab 2 Dinge die so aussehen: Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen. Wie soll ich die IP kennen? Das fixen bringt mich um. Wollt jetzt die Auswertung ausdrucken das ich auch weiß was ich fix, ist wieder das Wichtigste nicht drauf, stöhn