Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

codeeinschleusung

Seit einiger Zeit bekomme ich ständig die Warnung von Iexplorer.exe über Datenausführungsverhinderung. Danach verschwindet für 2 Sekunden alles vom Bldschirm außer des Bildschirmschoners und taucht dann wieder auf.
Ich nahm an, es hätte vielleicht mit meiner Firewall zu tun, da das Problem ungefähr zur gleichen Zeit eintrat, als ich mein ZoneAlarm upgedatet habe, also habe ich es deinstalliert und bin auf Sunbelt Personal Firewall umgestiegen.
Das Problem blieb leider immer noch. Nur dass jetzt noch dazu kommt, dass sofort nach dieser Datenausführungsverhinderungswarnung auch noch Sunbelt die Meldung über Eindringversuchblockierung schickt. Und daas Schlimmste: diese Meldung hört nicht auf! Ich klicke immer wieder auf schließen und gleich danach kommt die gleiche nochmal und so immer weiter. Das ist die Meldung von Sunbelt:

Technische Details für den Eindringversuch:

Injektoranwendung: <unbekannt>
Beschreibung: <unbekannt>
Dateiversion:
Produktname:
Produktversion:
Erstellt: N/A
Geändert: N/A
Zugegriffen: N/A

Zielanwendung: \??\C:\WINDOWS\system32\winlogon.exe
Beschreibung: winlogon
Dateiversion:
Produktname:
Produktversion:
Erstellt: N/A
Geändert: N/A
Zugegriffen: N/A

Adresse der Injektion: 0x7C801D77


Ich weiß nicht, was ich machen soll. Auch jett, während des Schreibens musste ich die Meldung zur Seite schieben. Bitte dringend um Hilfe!!!
 



Antworten zu codeeinschleusung:

Hallo,
erstelle ein Log mi Hilfe des Programms Hijackthis.
Zu finden unter www.hijackthis.de
Du kannst aber schon mal deine Installations CD suchen gehen.... 8)
Sir Reklov

Hallo,

ich weiß diese schnelle erste Hilfe zu schätzen, aber ich kenne mich sowas von nicht aus. Ich weiß, es ist nervig, sich mit Anfängern zu plagen, aber ich muss hier erstmal ganz dumm fragen: was ist ein log? Was genau muss ich da schicken? Und was für ne Installations CD  :-[ ? Das hört sich ja total schlimm an  :(

das mit der Installations CD lass mal zuerst bleiben 8). Mit Installations CD ist ddeine Windows-CD gemeint. Du kannst sie schon hervorholen aber benutzen tu sie noch nicht.

Wegen dem Log... Hol dir das Programm HijackThis von www.hijackthis.de (links oben steht Direktdownload). Installiere das Programm und starte die exe von Hijackthis (Hijackthis.exe). Dann wählst du gleich den ersten Button "Do a system Scan and save a logfile" aus. Dann kommt ein Textdokument mit Daten. Das markierst du !kopmlett! und stellst es hier ins Forum durch einen normalen Beitrag. ():-)

Hallo,
gut, dann anders....

http://www.trojaner-board.de/17493-anleitung-hijackthis.html

Um`s lesen wirst du aber nicht herumkommen....


 

Zitat
Und was für ne Installations CD  

Die CD mit der du deinen Computer erst zu einem gemacht hast... ;)
Ohne diese CD war deine Kiste nur eine Ansammlung von elektrischen und metallenen Teilen... ;D

 
Zitat
Das hört sich ja total schlimm an  

Ja...möglicherweise....die allgemeine Erfahrung spricht eher für schlimm.....
Das Log wird dann Aufschluß geben.....
Vorerst schwebst du mal zwischen Himmel und Hölle... 8)
Sir Reklov

Danke für die Erklärung!
Oh Mann, ich hoffe, es ist nicht schlimm diese ganze Info so ins Netz zu stellen... :-\

Aber hier isses:



Logfile of HijackThis v1.99.1
Scan saved at 14:21:29, on 7.5.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\slserv.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\DOKUME~1\**\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {0193F379-8FBB-4472-8F68-DAE7F6EAC537} - C:\WINDOWS\java\cmmig.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\vnnplirx.dll (file missing)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - C:\WINDOWS\system32\oiffexgc.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zzzHPSETUP] D:\Setup.exe \RESET
O4 - HKLM\..\Run: [VVSN] C:\Programme\VVSN\VVSN.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\elstcxbj.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [OM_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {5F8469B4-B055-49DD-83F7-62B522420ECC} (Facebook Photo Uploader Control) - http://upload.facebook.com/controls/FacebookPhotoUploader.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: cmmig - C:\WINDOWS\java\cmmig.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 004 (ClipInc004) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 005 (ClipInc005) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 006 (ClipInc006) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 007 (ClipInc007) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 008 (ClipInc008) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 009 (ClipInc009) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 010 (ClipInc010) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 011 (ClipInc011) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 012 (ClipInc012) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 013 (ClipInc013) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 014 (ClipInc014) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

 

Hilfe!!! Hier sind ja Links drin geblieben. Wie kann ich die entfernen??? 

Fixen im HJT - Protokoll ( das mit den Kästchen!
HijackThis : Anleitung  incl Auswertung mit Bildern :
http://www.computerhilfen.de/hilfen-17-235710-0.html
oder
http://www.windowspower.de/artikel_HijackThis+Anleitung_653.html

Hallo,
nein schlimm ist das nicht....
Schlimm ist was sich auf deiner Kiste so rumtreibt... ::)
Ich geb dir jetzt einiges zum Entfernen.
Gehe folgendermaßen vor :
Start > Arbeitsplatz >lokalerdatenträger C
wenn du dort drinnen bist suchst du folgende Einträge und löscht diese :

 

Zitat
C:\Programme\NewDotNet\newdotnet7_48.dll
 
An diesem zu löschenden Beispiel zeige ich dir die Vorgehensweise:
Du bist also im lokalen Datenträger C
dort suchst du nun den Ordner Programme und klickst ihn auf.
Darin nun suchst du nach dem Ordner NewDotNet
Diesen Ordner klickst du aber nicht an sondern löschst ihn komplett.Du findest den Löschknopf links :"Ordner löschen"
Soweit klar ?
Mit folgenden Ordnern tust du dasselbe:

 
Zitat
C:\Programme\VVSN\
Zitat
C:\WINDOWS\system32\elstcxbj.dll" < dieses hier entfernen-nicht den system 32 Ordner,sondern in dem system 32 Ordner suchen !,
Folge immer dem Pfad !!
Achte auf die richtigen Namen !!
Berichte wie es gelaufen ist.
Du bist noch nicht durch....
Es ist noch einiges zu tun ...
Sir Reklov

@HCK
so langsam solltest du auch mal die richtige Reihenfolge beherrschen...
Das fixen kommt immer nach der Entfernung der Schaddatei !!
Ansonsten ist nach dem nächsten Neustart alles beim alten....

Du schreibst jetzt Hundertmal :
Ich darf erst fixen wenn die böse Datei entfernt ist !
 ;D
Sir Reklov

 :(:(:o:o::)::):-[:-[:-*():-)
Habe nur die Frage beantwortet : WIE man die Einträge wegbekommt.

Gebe aber zu , dass ich nicht ernsthaft reingeschaut habe , wollte ich DIR überlassen ...  ():-);D

Bin davon ausgegangen  :-[ , dass FIXEN die Daten mit löscht ......  :o::):-[ 

« Letzte Änderung: 07.05.07, 15:19:40 von HCK »

Bin ganz aufgeregt, dass mir endlich jemand sagt, was ich tun soll  :)


Also, dises im system32 habe ich entfernt - das Richtige auch, keine Sorge  ;)

Aber das NewDotNet konnte nicht gelöscht werden, da die Meldung auftaucht, dass dieses Programm von einem anderen Benutzer oder anderem Programm angewedet wird. Ich habe aber alles geschlossen und sogar mein Antivirus Programm (übrigens, meine Firewall lässt sich jetzt nicht mehr öffnen, also weiß ich nicht, ob sie aktiv ist oer nicht)

Oder hätte ich in NewDotNet reingehen sollen und das letzere hier suchen:  C:\Programme\NewDotNet\newdotnet7_48.dll  ?



Und C:\Programme\VVSN\  kann ich nicht finden  :(
 

Hallo,
alle Ordner und Dateien sichtbar machen :
Start > Arbeitsplatz > Extras > Ordneroptionen > Ansicht
Suche nach : Erweiterungen bei bekannten Dateitypen ausblenden
Geschützte systemdateien ausblenden
Bei Beiden den Haken rausnehmen.
Suche nach :
Versteckte Dateien und Ordner > Haken rein bei "alle Dateien und Ordner anzeigen"

Erneut auf die Jagd gehen.....
Lassen sich wieder die oben genannten rdner nicht löschen,machen wir folgendes
Kiste ausschalten,Kiste anschalten und dabei dei Taste F8 gedrückt halten.Du kommst in den abgesicherten Modus,eventuell mußt du bestätigen das du das auch möchtest.Wähle dann (falls mehr angegeben) einfach nur "abgesicherter Modus".
Es dauert einen Moment und du wirst ein "komisches Bild sehen.Ist aber normal.Im  abgesicherten Modus kommt es nicht auf Schönheit an... ;D
Nun gehst du auf gleichem Weg vor bei der Suche nach den zu löschenden Dateien....
Bist du soweit fertig,dann Kiste ausschalten und ganz normal wieder einschalten.
Sir Reklov

Also so langsam krieg ich ne Krise!

Habe das mikt den versteckten Ordnern alles gemacht, sie sind jetzt sichtbar, aber immer noch nichts von dem C:\Programme\VVSN\

Dann war ich im abgesichertem Modus. Dort war ich vor 2 Tagen schon, um alles mit adaware zu scannen und es hat wunderbar geklappt. Aber jetzt gehts nicht mehr! Ich komme bis zum abgesichertem Modus, Benutzer auswählen, Einstellungen werden geladen - aber es passiert nichts, alles bleibt schwarz, außer "abgesicherter Modus", das in allen vier Ecken weiterhin steht. Ich habe es nun schn mindedstens 5 Mal probiert, aber es klappt nicht.

Meine Firewall ist übrigens wieder da, aber nach dem normalen Laden kommt die Meldung, dass das Modul C:\WINDOWS\system32\elstcxbj.dll nicht geladen werden kann, da es nicht gefunden werden kann (das war ja das Einzige, was ich gelöscht hatte). Wieso muss es denn geladen werden? Ich bekomme weiterhin unmittelbar nach dem Hochfahren zweimal die Trojanermeldung vom Antivirus.

Hallo,
poste mal diese Antivirusmeldungenim gesamten Wortlaut.
Möglicherweise haben wir mit dem löschen dieser einen Datei deine Firwall angeschossen und verwundet.... 8)
Ich konnte allerdings überhaupt nix zu dieser Datei finden......
Nötigenfalls deinstallierst du die Firewall und machst sie einfach nochmal neu.
Newdotnet sollte aber getötet sein,oder ?

 

Zitat
Benutzer auswählen, Einstellungen werden geladen - aber es passiert nichts, alles bleibt schwarz, außer "abgesicherter Modus", das in allen vier Ecken weiterhin steht.
Gibt es denn einen Benutzer auszuwählen ?
Nimm im Zweifel den Administraor.
Ein bissel Geduld gehört auch dazu.Ganz so ruckzuck wie gewohnt läuft der abgesicherte Modus nicht.
Findet sich Newdotnet eventuell über Start > Systemsteuerung > Software .In deiner Softwareliste etwas mit Newdotnet zu finden ?
Sonst ziehen wir jetzt aber andere Seiten auf.... ;)
Sir Reklov

« ERROR SAFE win32 MalewaeTrojaner!!!!!! »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!