| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: ... und wieder casinopalazzoWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
17.06.2004, 22:35
| #1 |
| |  ... und wieder casinopalazzo Alles schon bekannt - Ikon auf Desktop - Webseite casinopalazzo wird automatisch aufgerufen - ohne dass man im Intenet ist - steht der Computer eingeschaltet findet man nach 2 Stunden x-mal die Seite von casinipalazzo.com geöffnet - man wird zu einem Download aufgefordet "index.php" - die Startseite wird auf easy-search.biz fixiert - die eingestellte LAN Verbindung wird auf einen Proxyserver 127.0.01 - Port 8080 umgestellt Logfile of HijackThis v1.97.7 Scan saved at 16:12:48, on 16.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\DJSNETCN.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\CMMPU.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE C:\WINDOWS\WININET32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\NMAIN.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\MSHTA.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\SPAYBOOT\HJT.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe" O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...154.1250694444 O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129 Muss mich ganz viel ärgern, da ich recht hilflos dem gegenüber stehe. Bitte um Hilfe - dankede Grüße von ross. [ 19. Juni 2004, 13:13: Beitrag editiert von: ross ] |
|
18.06.2004, 11:23
| #2 |
  | ... und wieder casinopalazzo Diese einträge fixen! (fix checked)
__________________R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local kannst du diese sachen mal prüfen: http://www.kaspersky.com/de/remoteviruschk.html C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe den eintrag mit F1 kenn ich nicht. (leider) Browser schliesen und temp.internetfiles incl.offlineinhalte löschen, Ordner TEMP leeren!! papierkorb leeren! PC neustarten in den abgesicherten modus anschliesend mit norton fullscan! dann wieder melden, werd aber schon schlafen  (sorry) hoffe es wird wer vorbeischauen können. gruss rock [img]smile.gif[/img] [ 18. Juni 2004, 00:29: Beitrag editiert von: rock' ] |
|
18.06.2004, 21:32
| #3 |
| | ... und wieder casinopalazzo Hi rock - und alle
__________________vielen Dank für Deine Hilfe. Hab alles wie beschrieben gemacht - kein Erfolg!  Nachdem die Zeilen entsprechend gefixt wurden und die weiteren Temp... geleert wurden ist der Logfile wieder wie vorher mit all seinen Einträgen. Also wenn ich am Ende Deiner Punkte bin,ist der Anfang wieder der "Alte". Kasparsky hat die Dateien "runwin32.exe" und "wininet32.exe" als schädlich definiert - die Dateien lassen sich aber nicht löschen. [img]graemlins/heulen.gif[/img] Im Verzeichnis Temporary Internet File wird immer ein Unterordner "Content.IE5" erstellt. Wollte dessen Inhalt mit Kaspersky prüfen, doch in dessem Fenster ist der Unterordner gar nicht existent. Vermutlich sind die Dateien runwin32.exe und wininet32.exe verantwortlich - aber wie löschen wenn dies nicht geht? "dialup.exe" ein Target Dialer wird trotz Löschens immer wieder unter C:\windows\dialup.exe installiert und ist auch wahrscheinlich für das Icon auf dem Desktop verantwortlich. Mit dem ClearProg Programm 1.4.1 Beta 1 von Sven Hoffmann werden alle "Spuren" aus einer Internetsitzung gelöscht, trotz mehrmaliger Anwendung hintereinander sind immer wieder Dateien im "Cache IE" zu löschen! Bitte um Hilfe - Danke. Grüße von ross |
|
18.06.2004, 21:56
| #4 |
  | ... und wieder casinopalazzo Hallo ross, hast Du schon mal die neueste Version 1.59.0 vom CWShredder benutzt? Der sollte diese Variante mittlerweile entfernen können.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
19.06.2004, 00:19
| #5 |
| | ... und wieder casinopalazzo hey ross, browser schliesen. mit rechtsklick auf dein blaues Explorersymbol am desktop klicken, dann eigenschaften, da öffnet sich ein fenster - in der mitte kannst du daten löschen licken. da öffnet sich ein weiteres fenster was dich fragt ob du die offlineinhalte auch löschen willst. da auch JA/OK klicken! denn was du da dann löscht, ist das was in den IE unterordnern Content IE5 liegt! (die ordner sind schon okey, die gehören da hin) bei der gelegenheit gleich cookis und verlauf mitlöschen!! (musst dich hier halt dann nochmals einloggen) also mit norton im abgesichertem modus wird wirklich NICHTS gefunden??? das wäre blöd, weil die beiden dateien die kaspersky bemängelt werden wahrscheinlich backdoors sein nehm ich mal an - sofern's mit dem/n dialer/n nix zu tun haben... und die sind aktiv, daher so nicht löschbar... was meldete denn kaspersky überhaupt bei den beiden exen??? (wenn norton echt die beiden nicht erkennt, haben wir ein weiteres trouble... schau mal in den taskmanager ob du da drin diese anwendungen siehst, dann beende sie. runwin32.exe wininet32.exe und diesen eintrag doch fixen! das könnte der dialer sein! F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe dann dafür das tool welches dir lutz vorschlägt auch anwenden. besten gruss rock edit: windows update! [ 19. Juni 2004, 01:36: Beitrag editiert von: rock' ] |
|
19.06.2004, 12:12
| #6 |
| | ... und wieder casinopalazzo Jetzt geht nichts mehr! Habe den CWShredder 1.59.0 laufen lassen - hat das Problem nicht behoben. Habe dann Updates von MS abgeholt. Jetzt stürzt beim Hochfahren das System ab. Es erscheint C:\windows\wininit.exe und danach ist Feierabend! Habe versucht über die DOS Ebene wininit.exe zu löschen - die Datei wird gar nicht angezeigt oder sie wird erst beim hochfahren erzeugt! Hilfe - was kann ich noch machen [img]graemlins/headbang.gif[/img] Danke und Grüsse von ross [ 19. Juni 2004, 18:11: Beitrag editiert von: ross ] |
|
22.06.2004, 18:08
| #7 |
| | ... und wieder casinopalazzo Alles wieder IO [img]graemlins/heilig.gif[/img] Habe W98 darüber gefahren, Updates geholt und das Problem ist gelöst ca. 3/4 Std. Arbeit die sich lohnt. Also an alle Helfer - Vielen Dank. Grüsse von ross |
|
| Themen zu ... und wieder casinopalazzo |
| ad-aware, adobe, antivirus, bho, computer, desktop, download, explorer, hijack, hijackthis, hilfe, hilflos, index.php, internet, internet explorer, lan, lan verbindung, microsoft, obfuscated, object, port, port 80, programme, registry, rundll, shockwave, software, symantec, system, windows |
