| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Startseitenänderung mit #96676 und .exe DateienWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.06.2004, 11:54
| #1 |
 |  Startseitenänderung mit #96676 und .exe Dateien Hallo zusammen, Problemschilderung und erste Erkenntnisse: Ich hatte mein Problem bereits in dem Thread "Home Search Starsteite lässt sich nicht entfernen" gepostet und wurde dann von Olo darauf hingewiesen, dass man ein Problem und eine Log Datei in einen eigenen Thread schreiben soll. Was ich bislang weiß: Ich habe mir dieses Problem eingefangen welches im Internet Explorer die Startseite auf eine Suchseite ändert, die ich nicht haben will und die ich nciht abstellen kann. Dieser Trojaner oder was auch immer es ist ändert die Registrierung und verweist auf eine dll Datei, mit dem Verweis #96676. Der Name der dll Datei ist wohl bei allen verschieden weil er zufällig erzeugt wird, die Nummer #96676 ist aber bei allen gleich, die dieses Problem haben. Laut "nitro" im Posting "Home Search Starsteite lässt sich nicht entfernen" handelt es sich dabei um den "TrojanDownloader.Win32.WinShow.u". Ein erster HiJack Logfile sah folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 23:12:13, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\msnmsgr.exe C:\WINDOWS\system32\ntvl32.exe C:\Programme\Winamp\Winampa.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\wudmate.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSuma32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Starcraft\StarCraft.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Nach einem ersten Fixing und dem entfernen von "wudmate.exe" sah das Logfile gut aus (die Einträge mit #96676 waren verschwunden. Aber heute nach dem zweiten Neustart sah das Logfile nun wieder folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 12:49:13, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ntvl32.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\MSuma32.exe C:\WINDOWS\System32\msnmsgr.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 Also scheint die Wiederherstellung dieser Einträge nicht mit der exe-Datei "wudmate.exe" zusammenzuhängen die ich entfernt hatte. |
| Themen zu Startseitenänderung mit #96676 und .exe Dateien |
| .inf, adobe, antivirus, bho, dll, ellung, entfernen, exe-datei, explorer, handel, hijack, hijackthis, home, internet, internet explorer, launch, log, log datei, logfile, lässt sich nicht entfernen, microsoft, mozilla, neustart, nicht, object, outlook express, programme, shockwave, software, symantec, system, tcpip, trojaner, träge, viren, windows, windows xp |
Baum-Darstellung