Guten Tag Trojaner-Board,

jetzt muss ich leider doch ein Problem posten, zu dem ich hier noch nichts (wie sonst immer) gefunden habe.

Ich habe gestern versehentlich eine "postcard-email" kurz geöffnet (von post@postcard.com - betreff: You have received a postcard) und die war wohl besonders böse. Jedenfalls gingen gleich zwei, drei Fenster auf mit ActiveX-Fehlermeldung etc. . Jetzt startet Excel nicht mehr, ich komme bei Eingabe bestimmter Adressen im IE (zB www.mcafee.com) auf eine microsoft-Seite, die mir allerdings auch dubios erscheint (Englisch und Deutsch gemixt), einige Bildschirmschoner funktionieren nicht mehr etc. Im HJT-log kommt mir insbesondere folgendes seltsam vor:

O20 - Winlogon Notify: pptp32 - C:\WINNT\SYSTEM32\pptp32.dll

Alles andere konnte ich fixen. Kennt jmd pptp32.dll? Die Suche bei Google ist eher dürftig und der Hinweis auf den Look2Me-Trojan hat mich auch nicht weiter gebracht.

Über Hilfe wäre ich dankbar!

Hallo,
bin mir nicht sicher ob es look2me ist, kannst du mal dein HijackThis Log posten? Überprüfe die Datei mal hier und poste das Ergebnis.
Außerdem könntest du mal noch zusätzlich Escan über dein System jagen und das Log mit Hilfe der datfind.bat posten.



Grüße Wildone

Hallo Wildone,

zunächst mal vielen Dank für die schnelle Reaktion.
Ich habe das HJT-Log zur Überprüfung gerade abgeschickt.
Escan wollte ich auch durchführen. Leider war meine vorhandene
Version wohl zu alt. Funktionierte jedenfalls nicht. Jetzt habe ich
die aktuelle heruntergeladen und werde sie mal auf dem "befallenen
Rechner" laufen lassen.

Ich melde mich mit den Ergebnissen.

grüße
jezi

Kurze Zwischenmeldung:

escan hat Backdoor.Win32.Haxdoor.gt gefunden und ist noch bei der Arbeit.
Ich freunde mich gerade mit dem Gedanken an, die Kiste neu
aufzusetzen, da ich zu dieser Haxdoor-Variante keine Infos
finden kann. Die Symptome sind jedenfalls extrem, zB wird im
HJK-Log mein IE in einer 5er Version angezeigt. Ist aber 6.0 SP1.

jezi

Hallo,

Zitat:

Ich freunde mich gerade mit dem Gedanken an, die Kiste neu
aufzusetzen,

Ja das wird wohl unumgänglich sein. Hier eine Anleitung wie du dabei vorgehen solltest. Das du dich zukünftig von unbekannten Mailanhängen fernhalten solltest brauche ich wohl nicht zu erwähnen.
Kannst du zum Test noch mal Rootkitrevealer drüberlaufen lassen und das Log posten (File>>Save), und achte darauf während dem Scan nichts anderes zu machen.


Grüße Wildone

Hier zunächst die "Infektionen", die eScan gefunden hat. Vielleicht hat ja noch jemand Lust, mich vom Neuaufsetzen abzuhalten. Ich werde erst morgen damit anfangen.
Wildone: Werde "Rootkitrevealer", wie Du empfielst mal anwenden. Ansonsten nochmal der Hinweis, dass ich keinesfalls einen Anhang geöffnet habe. Es genügte schon das versehentliche Öffnen der Mail von post@postcard.com (zukünftig verzichte ich dann wohl beim eMail-Verkehr auf html )

File C:\WINNT\SYSTEM32\PPTP64.SYS infected by "Backdoor.Win32.Haxdoor.gt" Virus!
System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
Offending file found: C:\WINNT\system32\tmpf00.exe
System found infected with cws.loadadv.400 Browser Hijacker (tmpf00.exe)! Action taken: No Action Taken.
File C:\WINNT\ckilfxh.exe infected by "Backdoor.Win32.Haxdoor.gh" Virus! Action Taken: No Action Taken
File C:\WINNT\system32\qz.dll infected by "Backdoor.Win32.Haxdoor.gh" Virus! Action Tak
C:\WINNT\system32\rapilib.dx possibly infected and removed by background antivirus package!
File C:\WINNT\system32\rapilib.dx infected by "BkCln.Unknown" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\tmpf00.exe infected by "Backdoor.Win32.Haxdoor.gt" Virus! Action Taken: No Action Taken.
File C:\WINNT\system32\tmpf01.exe infected by "Backdoor.Win32.Haxdoor.gt" Virus! Action Taken: No A

Hallo,
das sieht wirklich ordentlich fies aus, du wirst auf keinen Fall um ein Neuaufsetzen herum kommen. Da ist wohl auch ein Rootkit im Spiel.
Das sich das ganze über Html ausbreitet kann ich eigentlich kaum glauben, benutzt du Outlook Express? Könnte sein das er durch die Vorschau ausgeführt wird. In der Anleitung ist übrigens auch beschrieben wie man Outlook absichert, da ist html abschalten mit Sicherheit auch Bestandteil von.


Grüße Wildone

Hallo Wildone,
nochmal DANKE für Deine Hilfe (auch wenn sie mich einen Arbeitstag kosten wird).
Ich benutze Outlook2000 ohne Vorschaufenster. Bin aber versehentlich beim Durchsehen einiger log-Mails von unserem Mailserver auf der bösen Mail gelandet und habe sie wirklich nur kurz geöffnet. Da ging das Theater schon los.
Gruß
jezi

Mit dem Rootkitrevealer komme ich nicht zurecht (oder er mit mir nicht). Würde gern auf diesen weiteren Scan verzichten und mit dem Formatieren starten. Wie gesagt, fange ich morgen damit an. Wenn Du, Wildone, oder sonst jemand hier, bis morgen früh starkes Interesse bekundet, dass ich diesen Rootkitrevealer vorher nochmal drüberlaufen lasse, würde ich mir die Mühe machen. Sonst ... format c:

gruß
jezi

Hallo,
mach dir keinen Stress, wenn es nicht klappt, klappts eben nicht.


Grüße Wildone

Ich hab zu Rootkits noch ein wenig gegoogelt und als kleinen Tipp Folgendes gefunden:

"Ein gutes Programm gegen Rootkits scheint F-Secure Blacklight (Blacklight Rootkit Revealer) zu finden unter w*w.f-secure.de/blacklight/

Blacklight (gibts als Demoversion) hat bei mir gut funktioniert. Alles geht wieder. Trotzdem setze ich neu auf.

Gruß
jezi

Hallo,
ja Blacklight ist auch ganz gut. Aber RootkitRevealer hat eine höhere Erkennungsrate, da es mit einer anderen Technik arbeitet.

Zitat:

Trotzdem setze ich neu auf.

Einzig richtige Entscheidung.


Grüße Wildone