1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Backdoor Trojaner "S.O.S"

Discussion in 'Sicherheit' started by scott-vincent, Oct 29, 2004.

Thread Status:
Not open for further replies.
  1. scott-vincent

    scott-vincent Byte

    Halli Hallo,

    bitte um dringende Hilfe da mein System meiner Meinung nach ein Trojaner beherrscht. Laut Kaspersky ist es ein Backdoor Troj.

    C:\WINDOWS\System32\svchost.exe
    D:\photoexpress\CalCheck.exe
    D:\INCRED~1\bin\IMApp.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\update.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
    O2 - BHO: (no name) - {637FCA7D-B7E3-476F-8D2F-9382FC654703} - C:\WINDOWS\System32\ihfiea.dll (file missing)
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [*******Tray] "D:\*******\*******Tray.exe" /s
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
    O4 - HKLM\..\Run: [mvgagxdageik] C:\WINDOWS\System32\ydhfyuw.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] D:\kaspersky\ogrc.exe
    O4 - HKLM\..\Run: [AVPCC] D:\kaspersky\avpcc.exe /wait
    O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
    O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
    O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
    O4 - Startup: Reboot.exe
    O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
    O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\photoexpress\CalCheck.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: &Search -
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O15 - Trusted Zone: *.searchmeup.cc
    O15 - Trusted Zone: *.skoobidoo.com
    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab[/url]
    O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339}
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)

    Hier ist der Kaspersky Log !!!

    Virus:Eicar.Mod No disinfected C:\Dokumente und Einstellungen\Franz\Eigene Dateien\softwareshortcuts\kav\kav\Kaspersky.AV.Personal.Pro\data1.cab[eicar.html]
    Virus:Trj/StartPage.FH No disinfected C:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\sp.html
    Virus:Trj/Downloader.GK Disinfected C:\WINDOWS\LastGood\System32\polall1m.exe
    Virus:Trj/Downloader.GK Disinfected C:\WINDOWS\system32\polall1m.exe
    Virus:W32/Sdbot.AOH.worm Disinfected C:\WINDOWS\system32\TFTP2288
    Virus:Eicar.Mod Renamed D:\kaspersky\eicar.html
     
    scott-vincent, Oct 29, 2004
    #1
  2. Nevok

    Nevok Ganzes Gigabyte

    Hallo scott-vincent

    Folgende Einträge solltest du fixen:


    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

    O2 - BHO: (no name) - {637FCA7D-B7E3-476F-8D2F-9382FC654703} - C:\WINDOWS\System32\ihfiea.dll (file missing)

    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

    O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

    O15 - Trusted Zone: *.searchmeup.cc

    O15 - Trusted Zone: *.skoobidoo.com

    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab[/url]


    Die Datei sp.html aus dem Verzeichnis C:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\ solltest du löschen.

    Gruß
    Nevok
     
    Nevok, Oct 29, 2004
    #2
Thread Status:
Not open for further replies.

Share This Page