GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene

    

 · Home · Impressum & Datenschutz · Suche

Seiten mit Postings: 1 2 3

zum Seitenende

 Forum Index —› PC Sicherheit —› Unverständliche Meldung
 


Autor Mitteilung
gilian
Board-Champion

Beiträge: 4301


Gesendet: 16:15 - 17.03.2006

Habe meine Anti-Spyware durchlaufen lassen.
Ist gleich der Virenchecker ins Bild gesprungen und hat mir EXPLOID. IMG.WMF angezeigt.
Dann kam ein Fenster von der Anti-Spyware mit dem Text:

UNVORHERGESEHENE SPY-KATEGORIE BEIM EINFÜGEN VON SPYWARE IN DIE VERZEICHNISSTRUKTURANZEIGE!

Also den Satz versteh ich mal gar nicht.

Das ganze passiert seit einiger Zeit jedesmal beim durchlaufen meiner Antispyware Steganos 7.
Dieses Textfenster kommt auch von Steganos selbst.

LG
gilian
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 16:30 - 17.03.2006

..das ist eine Warnmitteilung für einen Trojaner. Mach mal sicherheitshalber ein Logfile und kopiere es ins Forum, damit wir mal checken können, ob du was " gefangen" hast.

Gotti
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 16:33 - 17.03.2006

hier ist die Logfile-Anleitung.
gilian
Board-Champion

Beiträge: 4301


 

Gesendet: 16:45 - 17.03.2006


Scan saved at 16:44:10, on 17.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\WINDOWS\system32\IKAutoUp.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos AntiSpyware 7\aspy7.exe
C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Besitzer\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.Aon.at
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\system32\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [Guard NT] C:\Programme\Aon\AonVirenchecker\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AntiSpyware7] "C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=48835
O17 - HKLM\System\CCS\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{026F1F11-B205-4DF7-9002-2B162E8A88E6}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Guard NT - Ikarus Software Wien - C:\Programme\Aon\AonVirenchecker\GuardNT\guardNt.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH
gilian
Board-Champion

Beiträge: 4301


 

Gesendet: 16:46 - 17.03.2006

Richtig so?
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 16:49 - 17.03.2006

...ja, ich schau jetzt mal nach..
Mr. Not Perfect
Boardmeister

Beiträge: 673


 

Gesendet: 16:50 - 17.03.2006

Soweit ich weiß sind .wmf files spezielle Bilddateien von Microsoft Picture IT!. Aber kann natürlich auch ein Trojaner sein!

Ich hab mal gesucht..

Zitat:
Neue Variante des WMF-Exploits in Mails mit Neujahrsgruß
Das neue Jahr beginnt wie das alte endete, die Ausnutzung einer Sichrheitslücke in der Behandlung von WMF-Dateien in Windows zieht weitere Kreise. Das Sicherheitsunternehmen Idefense meldet, dass diverse Websites die Schwachstelle ausnutzen, um schädlichen Programm-code einzuschleusen. Ferner berichten Idefense und F-Secure über Mails mit angeblichen Neujahrsgrüßen, die eine virulente Bilddatei enthalten.

Diese Mails kommen mit einem Betreff wie "Happy New Year" und dem Text "picture of 2006". Sie enthalten eine Bilddatei "HappyNewYear.jpg" (53.608 Bytes). Dabei handelt es sich trotz der JPG-Endung um eine Datei im WMF-Format (Windows Meta File). Sie enthält Code, der auch mit dieser Dateiendung die kürzlich bekannt gewordene WMF-Sicherheitslücke ( wir berichteten ) ausnutzt und sich von den in der letzten Woche gesichteten Exploits deutlich unterscheidet.

<A HREF="http://ad.de.doubleclick.net/click%3Bh=v5|33ab|3|0|%2a|o%3B28992873%3B0-0%3B0%3B9494987%3B31-1|1%3B15375432|15393328|1%3B%3B%7Esscs%3D%3fhttp%3A%2F%2Fmacwelt.websale.biz/cgi/websale5.cgi?shopid=macwelt&list-file=sohe_tipps.wp5&product-number=mws0603" TARGET="_blank"><IMG SRC="http://adserver.idgverlag.de/banner/macwelt/vertrieb/http://adserver.idgverlag.de/banner/macwelt/vertrieb/060310_mw_mpu_204_02.gif" WIDTH="336" HEIGHT="180" ALT="Click here..." BORDER="0"></a>

Wird die Datei durch eine anfällige Anwendung geöffnet, etwa durch die "Windows Bild- und Faxanzeige", wird der enthaltene Programm-Code aktiv. Dieser lädt über den Internet Explorer eine Datei aus dem Internet herunter und legt sie als "luckly[1].exe" (39.423 Bytes) im Verzeichnis "Temporary Internet Files" ab. Diese wird dann als "nerodll.exe" in das System32-Verzeichnis von Windows kopiert. Der Dateiname soll offenkundig den Eindruck erwecken, es handele sich um eine Programmdatei des CD-Brennprogramms "Nero". Diese Datei wird in der Registry verankert, damit sie bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\ Installed Components\{8B75D81C-C498-4935-C5D1-43AA4DB90836}
"stubpath" = C:\WINDOWS\system32\nerodll.exe s

Es handelt sich hierbei um ein Trojanisches Pferd aus der "Bifrose"-Familie. Es nimmt Kontakt mit zwei Servern auf, von denen der eine in China, der andere in den USA steht. Von dort holt es sich neue Anweisungen. Befallene PCs können so aus der Ferne überwacht und gesteuert werden.



Scheint wohl ein Trojaner zu sein!

Gruß

Kris
Gotti
Board-Champion

Beiträge: 4498


 

Gesendet: 17:00 - 17.03.2006

wenn Du hier frauf klickst, siehst Du die Auswertung. Im Prinzip nichts Auffälliges, http://www.hijackthis.de/index.php#anl, die beiden Einträge

[Link zum eingefügten Bild] würde ich aber sicherheitshalber mal fixen=beseitigen.
Wie das einfach geht, steht auch in der Logfileanleitung.

Gotti
gilian
Board-Champion

Beiträge: 4301


 

Gesendet: 17:48 - 17.03.2006

Gotti Du bist Spitze!
Kris Dir auch ein Dankeschön!
So die Auswertung hab ich jetzt und verschiedene Dinge sind zum fixen.

Das Fenster wo man fixt hab ich ,aber die Auswertung ist woanders.
Muss ich jetzt das was zum fixen ist mir abschreiben oder geht das anders?
Schnauf
caboehmer
Boardkaiser

Beiträge: 2633


 

Gesendet: 17:50 - 17.03.2006

Hallo zusammen,
195.3.96.67 und ...68 sind ja Nameserver - haben also nichts mit gilians System zu tun. Warum werden dann diese Einträge aufgeführt? Bei mir kommt so ein Eintrag nicht vor!?
MfG Carsten
gilian
Board-Champion

Beiträge: 4301


 

Gesendet: 18:08 - 17.03.2006

Grad wollt ich fragen ich hab 2 Dinge die so aussehen:
Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die 'SearchList'-Einträge (Suchlisten-Einträge).
Kennen Sie die IP oder die Domäne '195.3.96.67 195.3.96.68' nicht, fixen.

Wie soll ich die IP kennen?
Das fixen bringt mich um.
Wollt jetzt die Auswertung ausdrucken das ich auch weiß was ich fix, ist wieder das Wichtigste nicht drauf, stöhn

Seiten mit Postings: 1 2 3

- Unverständliche Meldung -

zum Seitenanfang



 Forum Index —› PC Sicherheit —› Unverständliche Meldung
 


naanoo logo
Version 3.1 | Load: 0.002481 | S: 1_2