Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Windows 7: [SID: 24225] Web Attack: Blackhole Toolkit Website 5 was ist das?

Seit einigen Tagen erkennt Symantec Endpoint Protection eine Gefahr: [SID: 24225] Web Attack: Blackhole Toolkit Website 5
Ich weiß nicht was es seien könnte und seit dem kann ich viele Webseiten nicht mehr öffnen, nur noch mit Cache. Wenn ich drauf klicke lädt es und wenn es fertig geladen hat steht anstatt dem Namen der Seite google.de da und alles ist weiß. Zudem sind meine Minianwendungen weg, es sind nur noch schwarze Streifen/Kästchen.
Bitte helft mir, ich weiß nicht mehr weiter! :-\


Mein Computer-System:
   
Mein PC ist etwa 0-2 Jahre alt.

Ich habe auch Hijack durch laufen lassen vlt. hilft euch das ja:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:02:06, on 15.07.2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16800)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\Symantec Endpoint Protection\SmcGui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Lenovo\Mouse Suite\ico.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Lenovo\Message Center Plus\MCPLaunch.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\ThinkPad\Utilities\SCHTASK.EXE
C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files\Lenovo\Mouse Suite\FSRremoS.EXE
C:\Program Files\Lenovo\Mouse Suite\Pelmiced.exe
E:\Program Files\Logitech\Logitech WebCam Software\LWS.exe
C:\Program Files\Microsoft LifeChat\LifeChat.exe
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Windows\System32\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Laurens\AppData\Local\Temp\Zp0.exe
E:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://lenovo.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://lenovo.msn.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] C:\Program Files\Lenovo\Mouse Suite\ICO.EXE
O4 - HKLM\..\Run: [IMSS] "C:\Program Files\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe"
O4 - HKLM\..\Run: [PWMTRV] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWMTR32V.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [Power Manager Power Agenda] C:\PROGRA~1\ThinkPad\UTILIT~1\DPMHost.exe
O4 - HKLM\..\Run: [Message Center Plus] C:\Program Files\LENOVO\Message Center Plus\MCPLaunch.exe /start
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "E:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Program Files\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [StartCCC] "E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [LifeChat] "C:\Program Files\Microsoft LifeChat\LifeChat.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Program Files\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Userinit] C:\Users\Laurens\AppData\Roaming\appconf32.exe
O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [EA Core] C:\Program Files\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [Steam] "E:\Program Files\Steam\steam.exe" -silent
O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup
O4 - HKCU\..\Run: [Esjmwg] rundll32 "C:\Users\Laurens\AppData\Roaming\fundiscx.dll",becj
O4 - HKCU\..\Run: [8DDYX0ZBPZ] C:\Users\Laurens\AppData\Local\Temp\Zp0.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\Windows\System32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Power Manager DBC Service - Lenovo - C:\Program Files\ThinkPad\Utilities\PWMDBSVC.EXE
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: System Update (SUService) - Lenovo Group Limited - c:\Program Files\Lenovo\System Update\SUService.exe
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Program Files\Symantec\Symantec Endpoint Protection\Rtvscan.exe
O23 - Service: ThinkVantage Registry Monitor Service - Lenovo Group Limited - C:\Program Files\Common Files\Lenovo\tvt_reg_monitor_svc.exe
O23 - Service: TVT Backup Service - Lenovo Group Limited - C:\Program Files\Lenovo\Rescue and Recovery\rrservice.exe
O23 - Service: Intel(R) Management & Security Application User Notification Service (UNS) - Intel Corporation - C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe

--
End of file - 9168 bytes

« Letzte Änderung: 15.07.11, 18:02:38 von Pc-Newbie »


Antworten zu Windows 7: [SID: 24225] Web Attack: Blackhole Toolkit Website 5 was ist das?:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

so wie ich gelesen habe, bist Du als Symantec User vor diesen Attacken geschützt:

https://www.info-point-security.com/security-themen/malware-viren-spam-phishing/item/6194-symantec-security-respone-massen-injection-kampagne-mit-blackhole-toolkit.html?tmpl=component&print=1

Ich würde trotzdem mal zur Sicherheit einen Check mit Malewarebytes durchführen, updaten und einen Vollscan durchführen. Logfile dann posten.

Download Malewarebytes:

http://www.chip.de/downloads/Malwarebytes-Anti-Malware_27322637.html

Gruss A K

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Also ich hab Hijack durch laufen lassen wi ich grad geändert habe vlt. hilft dr das ja

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Auch im Nachhinein Dein geänderter Eingangsthread mit HJT ändert nichts an der Antwort 1.

PS: HJT ist in der heutigen Zeit nicht mehr up to date, denn es zeigt nicht mehr alle aktuellen Schädlinge/Viren an

Also Malewarebytes, wie in Antwort 1 beschrieben, durchführen.

Dein Symantec / Norton hat auf ganzer Linie versagt:

O4 - HKCU\..\Run: [Userinit] C:\Users\Laurens\AppData\Roaming\appconf32.exe
O4 - HKCU\..\Run: [Esjmwg] rundll32 "C:\Users\Laurens\AppData\Roaming\fundiscx.dll",becj
O4 - HKCU\..\Run: [8DDYX0ZBPZ] C:\Users\Laurens\AppData\Local\Temp\Zp0.exe

Formatieren und Neuinstallation.

Das bekommt man nicht mehr sauber, nicht wirklich ;)

Spielerechner? Dann ist eh nix Wichtiges drauf, außerdem hast du kein Servicepack installiert! :P


  

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Du musst ein bisschen warten mein Internet ist nich grad gut  ::)
Dauert also noch ein bisschen  ;);D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Und was hast du da alles gefunden Nostradamus?
Ich meine kannst du mir das erklären? :D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

@nostradamus

dann haben Malewarebytes-Aktionen wohl auch keinen Sinn mehr, oder ?

hier wäre noch ein Lösungsweg, um appconf32.exe loszu werden:

Abgesicherter Modus:
Beim Rebooten F8 drücken, am besten drückste einfach ganz oft F8, da ich jetzt nur ungenau den richtigen Zeitpunkt erklären könnte.
Sobald das passiert ist, erscheint ein sog. Bootmanager, du hast dann also die Auswahl zwischen, "Starten im Abgesicherten Modus", "Starten nur mit Eingabeaufforderung" usw.
Da wählst du den abgesicherten Modus.

Nun sollte Windows wie gewohnt starten, allerdings im abgesicherten Modus.
Nun solltest du wie folgt vor gehen:
1.)
Start: Ausführen: "msconfig" eingeben. -> Registrierkarte "Systemstart" und schauen ob appconf32.exe in der Liste steht, falls ja rausnehmen!, dies hieße nämlich, dass es bei jeden Start von Windows automatisch mitstartet.
2.) Start: Ausführen: "regedit" eingeben.
Du hast soeben die Windows-Registrierdatenbank geöffnet.
In der Linken SPalte sollte ganz oben "Computer" stehen. Klicke ihn einmal an und gehe auf "Bearbeiten/Suchen".
Suche nun nach "appconf32.exe" vllt. auch ohne .exe - und lösche sämtliche Einträge die du damit findest. Um das weitersuchen zu erleichtern, drücke F3, damit springt er automatishc immer zum nächsten gefundenen Eintrag.
3.) Taskmanager öffenen: Rechtsklick auf Taskzeile -> "Taskmanager starten", "Prozesse aller Benutzer anzeigen", falls appconf32.exe hier laufen sollte, schließ es!
4.) Die Datei auf deinem Rechner suchen, endgültig löschen, also nicht nur in den Papierkorb verschieben.
5.) Ich würde nun nochmals in die Registrierungschauen, nur um sicher zu gehen.
Also nochmal Schritt 2.) durchführen.
6.) Neustarten und schauen ob appconf32.exe weg ist, Sollte nun eigentlich verschwunden sein.

Ich meine nur, wenn das möglich ist, würde eine Neuinstallation umgangen werden können, aber der Schädling ist wohl zu hartnäckig.
  

« Letzte Änderung: 15.07.11, 18:52:44 von A K »

Was HJT hier zeigt, ist nur die Spitze des Eisbergs!

Ein Scan mit Malwarebytes wird mehr zu Tage fördern, keinen Zweifel. ;D

Vor allem auch eventuelle Keygens und dergleichen, denn irgendwo wurde mit 99,99%iger Sicherheit was aus dubiosen Quellen geladen. ;)

Von der Lektüre des Spiegel-Online oder der FAZ-Online bekommt man solche Sachen jedenfalls nicht ;);)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

naja eigentlich habe ich mir nur auf RuTube meine lieblings serie angeguckt vlt. kommts ja davon wer weiß.
Die Russen hacken ja alle gerne ma  ;);D

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wo bleibt das Logfile vom Vollscan Malewarebytes ?  ::)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

naja also ich habs durch laufen lassen und des hat ein paar viren erkannt und wolltes auch gleich löschen ich mache grad nen qucik scan 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Also meinste das hier? :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Database version: 7147

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

15.07.2011 19:24:41
mbam-log-2011-07-15 (19-24-41).txt

Scan type: Quick scan
Objects scanned: 136238
Time elapsed: 3 minute(s), 25 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 6
Registry Values Infected: 2
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\CLSID\{F22C37FD-2BCB-40b6-A12E-77DDA1FBDD88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F22C37FD-2BCB-40B6-A12E-77DDA1FBDD88} (Trojan.Banker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\89DGCM7LPJ (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Userinit (Trojan.Agent) -> Value: Userinit -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.FakeAlert.SA) -> Value: 8DDYX0ZBPZ -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Was schrieb ich in Antwort 1:

 V O L L S C A N durchführen, dauert ca. 1 bis 2 Std.

und dann alle gefundenen Einträge sofort löschen und nicht in Quarantäne setzen, also immer genau lesen !!!  ::)

Dann nochmal das Logfile posten.


« Windows 7: Ram ProblemWas für eine Datei ist das in meinem Windows Ordner 'Üú¯' ? »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!