Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: www.onpanel.com

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 09.10.2005, 23:25   #1
derrick
 
www.onpanel.com - Standard

www.onpanel.com



Ich habe beim gugeln schon öfter dieses Problem gelesen. Beim Systemstart erscheint beim booten ein fenster indem steht. www onpanel.com! Geht man mit dem Browser auf diese Seite, findet man nix, außer das diese site nicht existiert. Allerdings habe ich folgende Daten über whois herausgefunden. Vielleicht hilft es ja jemandem?

Registrant:
New Ventures Services, Corp
ATTN: ONPANEL.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA. 20172-0447

Domain Name: ONPANEL.COM

Administrative Contact, Technical Contact:
New Ventures Services, Corp nq56w9f67pw@networksolutionsprivateregistration.com
ATTN: ONPANEL.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA 20172-0447
570-708-8780

Record expires on 29-Aug-2006.
Record created on 29-Aug-2001.
Database last updated on 9-Oct-2005 18:08:54 EDT.

Domain servers in listed order:

NS27.WORLDNIC.COM 216.168.228.16
NS28.WORLDNIC.COM 216.168.225.158

This listing is a Network Solutions Private Registration. Mail
correspondence to this address must be sent via USPS Express Mail(TM) or
USPS Certified Mail(R); all other mail will not be processed. Be sure to
include the registrant’s domain name in the address.

Ihr könnt gerne Eure Erfahrungen mit mir teilen. Das Problem tritt schon häufig auf und wird sicher noch zunehmen. Ich denke es handelt sich dabei um einen Trojaner, da das Fenster mit w*w.onpanel.com gleich beim booten erscheint. Außerdem habe ich senkrecht rote Streifen auf meinem 19" TFT-Monitor von Medion, die ich leider noch nicht weg bekommen habe.

Mfg Derrick

[edit]
links entfernt
[/edit]

Geändert von GUA (10.10.2005 um 04:56 Uhr)

Alt 10.10.2005, 06:14   #2
stupormundi
 
www.onpanel.com - Standard

www.onpanel.com



Servus, derrick!
Poste doch einmal ein HJT-Logfile http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi
__________________


Alt 10.10.2005, 23:22   #3
derrick
 
www.onpanel.com - Standard

www.onpanel.com



Zitat:
Zitat von stupormundi
Servus, derrick!
Poste doch einmal ein HJT-Logfile http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi
Hey Stupormundi,

danke für deine Antwort. HJT ... schon geschehen. Guckst du hier!

http://www.trojaner-board.de/showthread.php?t=21104

Dort habe ich es schon gepostet.Ich wurde allerdings nicht erhört in den Weiten des Internet. Habe das Posting auch schon mehrfach wieder hoch geholt. Ohne Erfolg. Bis jetzt.

Na mal gucken, ob Ihr was findet.

Ciao und viele Grüße derrick
__________________

Alt 11.10.2005, 07:23   #4
stupormundi
 
www.onpanel.com - Standard

www.onpanel.com



Tja, derrick, dann bleiben wir auch dort in diesem tread, sonst wird es unübersichtlich!
Werde die Mods bitten, diesen Beitrag entweder zu löschen oder die beiden Beträge zusammen zu führen!
stupormundi
~~EDIT~~Kommando: retour! Der erste thread ist ja schon in der Mülltonne!
Poste bitte ein neues, aktuelles HJT-Logfile hier, damit man damit auch arbeiten kann
cu, stupormundi ~~/EDIT~~

Geändert von stupormundi (11.10.2005 um 07:28 Uhr)

Alt 14.10.2005, 16:50   #5
derrick
 
www.onpanel.com - Standard

www.onpanel.com



hey stupormundi,

hier mein HijackThis-Logfile:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links, wie es dir beim eröffnen eines beitrages angezeigt wird


danke
GUA
[/edit]


Geändert von GUA (14.10.2005 um 17:28 Uhr)

Alt 16.10.2005, 11:58   #6
derrick
 
www.onpanel.com - Standard

www.onpanel.com



Ok. Hier also ein neues editiertes HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:38:23, on 16.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cortalconsors.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=explorer.exe
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 w*w.auditmypc.com
O1 - Hosts: 127.0.0.60 w*w.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 w*w.cexx.org
O1 - Hosts: 127.0.0.62 w*w.computercops.us
O1 - Hosts: 127.0.0.63 w*w.ct7support.com
O1 - Hosts: 127.0.0.64 w*w.doxdesk.com
O1 - Hosts: 127.0.0.65 w*w.eblocs.com
O1 - Hosts: 127.0.0.66 w*w.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 w*w.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 w*w.free-web-browsers.com
O1 - Hosts: 127.0.0.69 w*w.grc.com
O1 - Hosts: 127.0.0.70 w*w.grisoft.com
O1 - Hosts: 127.0.0.71 w*w.hackfaq.org
O1 - Hosts: 127.0.0.72 w*w.hazeleger.net
O1 - Hosts: 127.0.0.73 w*w.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 w*w.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 w*w.kephyr.com
O1 - Hosts: 127.0.0.78 w*w.lurkhere.com
O1 - Hosts: 127.0.0.79 w*w.majorgeeks.com
O1 - Hosts: 127.0.0.80 w*w.merijn.org
O1 - Hosts: 127.0.0.81 w*w.mjc1.com
O1 - Hosts: 127.0.0.82 w*w.moosoft.com
O1 - Hosts: 127.0.0.83 w*w.mvps.org
O1 - Hosts: 127.0.0.84 w*w.net-integration.net
O1 - Hosts: 127.0.0.85 w*w.noadware.net
O1 - Hosts: 127.0.0.86 w*w.no-spybot.com
O1 - Hosts: 127.0.0.87 w*w.onlinepcfix.com
O1 - Hosts: 127.0.0.88 w*w.pchell.com
O1 - Hosts: 127.0.0.89 w*w.pestpatrol.com
O1 - Hosts: 127.0.0.90 w*w.safer-networking.org
O1 - Hosts: 127.0.0.91 w*w.secureie.com
O1 - Hosts: 127.0.0.92 w*w.security.kolla.de
O1 - Hosts: 127.0.0.93 w*w.spybot.info
O1 - Hosts: 127.0.0.94 w*w.spychecker.com
O1 - Hosts: 127.0.0.95 w*w.spychecker.com
O1 - Hosts: 127.0.0.96 w*w.spycop.com
O1 - Hosts: 127.0.0.97 w*w.spyguard.com
O1 - Hosts: 127.0.0.98 w*w.spykiller.com
O1 - Hosts: 127.0.0.99 w*w.spyware.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\eScan\Cleanup.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar_.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://w*w.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://w*w.aldi.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/tech...a/SymAData.cab
O23 - Service: eScan Management-Console (eScan-eServ) - MWTI2 - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MetaTrader Data Center (mtdcsrv) - Unknown owner - C:\Programme\MetaTrader Data Center\mtdcsrv.exe" /start (file missing)

Zitat:
Zitat von derrick
hey stupormundi,

hier mein HijackThis-Logfile:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links, wie es dir beim eröffnen eines beitrages angezeigt wird


danke
GUA
[/edit]

Alt 16.10.2005, 14:21   #7
Haui45
 
www.onpanel.com - Standard

www.onpanel.com



Entpacke HjT bitte in einen eigenen Ordner.
Fixe dann im abgesicherten Modus diese Einträge mit HjT:
Zitat:
alle O1
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar_.dll/SEARCH.HTML
Ist dir diese Datei, bzw. das Programm bekannt?
C:\Programme\MetaTrader Data Center\mtdcsrv.exe

Lösche die Datei C:\Programme\eScan\mwav.log
Aktualisiere eScan und führe einen Scan im abgesicherten Modus durch.
Kopiere die Datei C:\Programme\eScan\mwav.log in den von dir erstellten Ordner C:\bases_x und poste die Funde bitte, wie hier beschrieben (Find.bat).

Alt 26.10.2005, 19:31   #8
derrick
 
www.onpanel.com - Standard

www.onpanel.com



Hallo Haui45,

wie gesagt, so getan. habe mich an deine anleitung gehalten und diese Ergebnisse wurden gefunden mit escan:

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\TempIccProfiles\". Action Taken: Entries Removed.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\TempIccProfiles\Non-Recommended\". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{0B45B282-3D6D-4A39-BF36-9E00AB901AFB}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\Word8.0\MSForms.exd". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{C2D66E4E-D645-40B2-AD06-8ADD1D35B7D5}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{F87C79CF-6B43-4CA3-A00C-884A51342359}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: Entries Removed.

ciao derrick

ps, die datei metatrader ... kenne ich, habe ich aber trotzdem gelöscht, weil nicht essentiell.


Zitat:
Zitat von Haui45
Entpacke HjT bitte in einen eigenen Ordner.
Fixe dann im abgesicherten Modus diese Einträge mit HjT:

Ist dir diese Datei, bzw. das Programm bekannt?
C:\Programme\MetaTrader Data Center\mtdcsrv.exe

Lösche die Datei C:\Programme\eScan\mwav.log
Aktualisiere eScan und führe einen Scan im abgesicherten Modus durch.
Kopiere die Datei C:\Programme\eScan\mwav.log in den von dir erstellten Ordner C:\bases_x und poste die Funde bitte, wie hier beschrieben (Find.bat).

Alt 13.09.2006, 16:18   #9
derrick
 
www.onpanel.com - Standard

www.onpanel.com



Hallo allerseits!

Also ich habe eine Lösung zur Thematik "www.onpanel.com" !!!

Auch wenn sie den meisten nicht gefallen wird. Es wird sich bestimmt um einen bios-virus o.ä. handeln. Auf jeden Fall ist das beschriebene Fenster bei mir verschwunden, nachdem ich die bios-batterie herausgenommen habe.
Dann funktionierte alles wieder bestens, auch wenn es ne ganze schöne Arbeit ist sein System wieder aufzubauen. Also viel Glück...

mfg derrick

Antwort

Themen zu www.onpanel.com
booten, browser, certified, daten, email, erfahrungen, erscheint, express, fenster, folge, folgende, handel, hilft, jemandem, medion, network, not, order, problem, seite, services, systems, systemstart, troja, trojaner, updated, whois



Zum Thema www.onpanel.com - Ich habe beim gugeln schon öfter dieses Problem gelesen. Beim Systemstart erscheint beim booten ein fenster indem steht. www onpanel.com! Geht man mit dem Browser auf diese Seite, findet man - www.onpanel.com...
Archiv
Du betrachtest: www.onpanel.com auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.