TweakPC

Zurück   Computer Hardware Forum - TweakPC > Games und Software > Security & SPAM

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 08.09.2009, 17:12   #1 (permalink)
Fingerabzähler
 

Registriert seit: 20.03.2003
Beiträge: 9

Traitor befindet sich auf einem aufstrebenden Ast

Standard Icq öffnet terminal fenster?

Halli hallo,
hab nen ganz komischen fehler. Seit heute kommt sobald icq läuft unregelmäßig oder sofort wenn ich ein kontakt durch doppelklicken öffne folgendes fenster:
http://home.arcor.de/spitzenmaddes/hmm.JPG

hab keine ahnung was das bedeutet, habe bisschen gegoogelt der server wo das hinführt gehört wohl zu cisco ironport systems was auch immer das ist ich hab aber nix davon installiert.

Hab windows xp prof sp2 drauf mit avira 9 antivir und sygate firewall. Sitz hinter nem fritzbox router mit dem ich über wlan verbunden bin.
ist das erste mal das ich so etwas habe hab mir ne hotline rausgegoogelt und dort einfach mal angerufen ^^ Aber der Typ am tele wusste überhaupt nicht was ich von ihm wollte und hat mir nur ne durchwahl zu ner englischen hotline gegeben

habt ihr ne ahnung was das sein könnte? achja hijackthis log falls das was bringt:

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11:32, on 08.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 63.251.57.112:3128
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/Driver...aSmartScan.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 5903 bytes
hoffe ihr könnt mir behilflich sein..

(Cpu E8400, graka 8800 gt, 200 gb hd, p5ne sli, 4 gb OCZ ram)
Traitor ist offline   Mit Zitat antworten
Alt 08.09.2009, 18:09   #2 (permalink)
Tweaker
 

Registriert seit: 25.11.2004
Beiträge: 788

mceck ist ein Lichtblickmceck ist ein Lichtblickmceck ist ein Lichtblickmceck ist ein Lichtblickmceck ist ein Lichtblick

Standard AW: Icq öffnet terminal fenster?

Moin,

du hast einen Proxy-Server im Internet Explorer eingetragen:

Zitat:
Zitat von Traitor Beitrag anzeigen
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 63.251.57.112:3128
Und der Name "s650-2.irondemo.com" (steht oben im Authentifizierungsfenster) zeigt "zufälligerweise" auf die gleiche IP-Adresse wie der Proxy-Server:

Zitat:
ruta:~# dig s650-2.irondemo.com

; <<>> DiG 9.6.1-P1 <<>> s650-2.irondemo.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 25587
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;s650-2.irondemo.com. IN A

;; ANSWER SECTION:
s650-2.irondemo.com. 86400 IN A 63.251.57.112

;; AUTHORITY SECTION:
irondemo.com. 300 IN NS ns.rackspace.com.
irondemo.com. 300 IN NS ns2.rackspace.com.

;; ADDITIONAL SECTION:
ns.rackspace.com. 66039 IN A 69.20.95.4
ns2.rackspace.com. 79571 IN A 65.61.188.4

;; Query time: 48 msec
;; SERVER: 213.209.104.250#53(213.209.104.250)
;; WHEN: Tue Sep 8 18:52:30 2009
;; MSG SIZE rcvd: 130
Bedeutet also, dass du die Meldung nicht mehr bekommen solltest, wenn du den Proxy-Eintrag aus dem IE rausnimmst.

Interessant ist natürlich, wodurch der Eintrag da rein gekommen ist (Trojaner, oder hast du ihn evtl. selber eingetragen)...
Falls du den Eintrag nicht gemacht haben solltest, such mal mit Spybot S&D/Adaware etc. nach Hinweisen.

Edit: Irgendwas geht bei der Domain irondemo.com anscheinend nicht mit rechten Dingen zu, denn in der whois-Abfrage stehen nahezu keine sinnvollen/gar keine Informationen drin:

WHOIS information for irondemo.com :

Domain ID:
Domain Name: irondemo.com
Created On: 10-Aug-2007 00:00:00
Expiration Date: 10-Aug-2010 00:00:00
Sponsoring Registrar: 'Check Whois' (ENOM) (ENOM)
Status: client_transfer_prohibited
Name Server: ns.rackspace.com
Name Server: ns2.rackspace.com
Registrant ID: Unknown
Registrant Name: Unknown
Registrant Organization: Unknown
Registrant Street1: Unknown
Registrant Street2: Unknown
Registrant Street3: Unknown
Registrant City: Unknown
Registrant State/Province: Unknown
Registrant Postal Code: Unknown
Registrant Country: Unknown
Registrant Phone: Unknown
Registrant Fax: Unknown
Registrant Email: Unknown
Admin ID: Unknown
Admin Name: Whois Agent
Admin Organization: Unknown
Admin Street1: PMB 368, 14150 NE 20th St - F1
Admin Street2: Unknown
Admin Street3: Unknown
Admin City: C/O irondemo.com
Admin State: Unknown
Admin Postal Code: Unknown
Admin Country: Bellevue, WA 98007
Admin Phone: +1.4252740657
Admin Fax: +1.4256960234
Admin Email: nvkmnbyyck@whoisprivacyprotect.com

Geändert von mceck (08.09.2009 um 18:27 Uhr)
mceck ist offline   Mit Zitat antworten
2 Benutzer bedanken sich für den Beitrag:
hoyy (08.09.2009), Uwe64LE (09.09.2009)
Alt 08.09.2009, 19:51   #3 (permalink)
Fingerabzähler
 

Registriert seit: 20.03.2003
Beiträge: 9

Traitor befindet sich auf einem aufstrebenden Ast

Standard AW: Icq öffnet terminal fenster?

also das war auf jeden fall die wurzel allen übels tausend dank da wär ich nie drauf gekommen das ich da mal nen proxy eingetragen habe .. und da icq ja eh nich viel von Firefox hält.. danke

ja ist schon ein wenig unseriös das ganze
Traitor ist offline   Mit Zitat antworten
Alt 09.09.2009, 02:54   #4 (permalink)
Overclocker
 
Benutzerbild von Acid303
 

Registriert seit: 10.04.2002
Beiträge: 273

Acid303 wird schon bald berühmt werden

Standard AW: Icq öffnet terminal fenster?

Malwarebytes Anti Malware (MBAM) runterladen, installieren updaten und dann das System scannen (den Monitor vom Antivir vorübergehend ausmachen). PrevX runterladen und installieren das is besser als Spybot und fummelt auch nicht so im system rum.

Das Antivir wie hier beschrieben einstellen und dann das System nochmal scannen.

Anleitung: Avira Antivir - Agressive Einstellungen - Trojaner-Board

Und ganz wichtig! In deinem system fehlt das Service Pack 3 das solltest du unbedingt installieren.

Gruß

Acid
Acid303 ist offline   Mit Zitat antworten
Antwort

Stichworte
fenster, icq, öffnet, terminal


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[News] Mushkin öffnet Onlineshop TweakPC Newsbot News 3 04.11.2009 15:19
seiten fenster für mein gehäuse @Xpit Gehäuse, Lüfter & Netzteile 1 15.03.2005 15:57
Wie öffnet man diese dateien Gast Windows & Programme 3 19.01.2004 18:15
Onboard Grafik inkompatibel mit Dos fenster? Gast Windows & Programme 1 02.06.2003 12:22
Wie mache ich mir mit VBS ein multi. fenster?? -Razor- Programmiersprachen 4 27.11.2002 13:47


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:33 Uhr.




Powered by vBulletin® Version 3.8.10 (Deutsch)
Copyright ©2000 - 2022, vBulletin Solutions, Inc.
SEO by vBSEO 3.5.2 ©2010, Crawlability, Inc.
Impressum, Datenschutz Copyright © 1999-2015 TweakPC, Alle Rechte vorbehalten, all rights reserved