Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Logfile -Troj.Dloader.oh (https://www.trojaner-board.de/18573-logfile-troj-dloader-oh.html)

kundalini 03.06.2005 19:37
Logfile -Troj.Dloader.oh
 
Hallo,
wg. einiger Programme nutze ich auf einem Rechner noch Windows 98 SE.
Leider hat sich ein Trojaner namens "Dloader.oh" in mein System geschlichen. Das meldet mir zumindest mein PC Cillin Internet Security 12.
Infizierte Datei: C:\windows\system\loader.dll

Beim Aufrufen des IE meldet sich die Startseite

C:\WINDOWS\SYSTEM\msblank.html

und danach kommt die Eingabeaufforderung

For your instant access please click yes

Nach dem doppelklick kann ich dann die Adresse C:\WINDOWS\SYSTEM\msblank.html

löschen und weiterarbeiten. Unter Internetoptionen kann ich die StartURL ändern, aber dise Änderung bleibt nicht wirksam.

Hier das Logfile von HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 20:15:33, on 03.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\PCCTLCOM.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\PCCIOMON.EXE
C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\TMPFW.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IGFXTRAY.EXE
C:\WINDOWS\SYSTEM\HKCMD.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE
C:\WINDOWS\SYSTEM\SBMX.EXE
C:\WINDOWS\SYSTEM\EUSEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\TMPROXY.EXE
C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\PCCGUIDE.EXE
C:\WINDOWS\SYSTEM\POPCORN64.EXE
C:\WINDOWS\SYSTEM\MSXCT.EXE
C:\WINDOWS\SYSTEM\OIF16.EXE
C:\WINDOWS\SYSTEM\HFTE.EXE
C:\WINDOWS\SYSTEM\OIALTCCM.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
D:\WINDOWS\WINZIP\WZQKPICK.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\NETGEAR\MA301 WIRELESS PC CARD\CONFIG.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\SYSTEM\msblank.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/spage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {D6075AE9-BE0C-C2AC-7A41-9BECDCE41C95} - C:\WINDOWS\SYSTEM\QLHDXNUB.DLL
O2 - BHO: Loader Class - {2E246FAE-8420-11D9-870D-000C2917DE7F} - C:\WINDOWS\SYSTEM\Loader.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\SYSTEM\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM\hkcmd.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe
O4 - HKLM\..\Run: [ICH Synth] eusexe.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [KlipFolio] "C:\Programme\KlipFolio\KlipFolio.exe" /BOOT
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE C:\WINDOWS\SYSTEM\TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\popcorn64.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\Run: [msxct] msxct.exe
O4 - HKLM\..\Run: [r93f36h] OIF16.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [PcCtlCom] C:\PROGRAMME\TREND MICRO\INTERNET SECURITY 12\PCCTLCOM.EXE
O4 - HKCU\..\Run: [Lhta] C:\Programme\ores\mses.exe
O4 - HKCU\..\Run: [Eaoguzoi] C:\WINDOWS\SYSTEM\hfte.exe
O4 - HKCU\..\Run: [ayspRWNmP] OIALTCCM.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: WinZip Quick Pick.lnk = D:\Windows\WinZip\WZQKPICK.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Configuration Utility.lnk = C:\Programme\NETGEAR\MA301 Wireless PC Card\Config.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {68689493-56CE-4D04-A626-258C0E098734} - C:\WINDOWS\SYSTEM\WLDR.DLL
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {68689493-56CE-4D04-A626-258C0E098734} - C:\WINDOWS\SYSTEM\WLDR.DLL
O9 - Extra button: Microsoft AntiSpyware helper - {68689493-56CE-4D04-A626-258C0E098734} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {68689493-56CE-4D04-A626-258C0E098734} - C:\WINDOWS\SYSTEM\WLDR.DLL (HKCU)
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://h**p://tools.ebayimg.com/eps/..._v1-0-3-17.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://h**p://secure2.comned.com/sig...ogin-devel.cab
O16 - DPF: {74DE4023-1EB4-1F22-7623-04F70C1053EF} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {5B4F5578-C028-522E-9DE6-699E74E34B4C} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {0020FD1D-90AE-2C15-31E5-1EF120613B8B} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {39077929-C85F-06D8-4E4F-4E5C5DDF244B} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {7D6F7A43-0462-1096-8801-348B0B203FE6} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {5F0271D6-D6B5-7B69-3132-1AE601388923} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {261EE805-4893-45A3-8E9E-AD90914CB39A} (VacPro.internazionale_98_ver11) - http://h**p://www9.advnt01.com/diale...e_98_ver11.CAB
O16 - DPF: {6010D407-7516-4754-4532-38E9487B3D46} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {5C44576E-BDA1-7F51-1C2D-4F8F2D61BFE2} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {20ED49B5-2139-759F-B30E-26C76C97178C} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {1FAFFC46-4CCC-014A-82A4-4B4B11FC560C} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {3E951810-FF3A-48F6-D305-25F0590955A5} - h**p://205.252.161.238/1/gdnDE1956.exe
O16 - DPF: {33A28375-13CC-0212-8F17-718123D12066} - h**p://205.252.161.238/1/gdnDE1956.exe

Ich bitte um kurze Diagnose. Vielleicht kann das Problem gefixt werden, ansonsten muß ich wohl format c wählem.

Besten Dank im Voraus.

KUNDALINI

The Saint 03.06.2005 19:59
Du hast einen aktiven Backdoor Trojaner im System.

Daher empfehle ich dir dringendst dein Betriebssystem neu aufzusetzen.

Weiters dein Betriebssystem upzudaten und alternative Browser wie zB. Firefox zu verwenden.

kundalini 03.06.2005 20:12
Hallo!

Danke für die schnelle Antwort.
Dann werde ich mal gemäß den Anleitungen das System neu aufsetzten und auch gleich auf Firefox & Thiunderbird umsteigen.

Grüße

KUNDALINI :daumenhoc

Yopie 03.06.2005 22:42
Zitat:
Zitat von The Saint
Du hast einen aktiven Backdoor Trojaner im System.
Bist du sicher, dass es der ist?

Ich würde allerdings auch neu aufsetzen, in Zukunft alle Patches installieren und den IE weitestgehend meiden...

Kleiner Tip: Vielleicht gefällt dir statt Thunderbird & Firefox auch die Mozilla-Suite? Da hast du beides integriert!

Gruß :daumenhoc
Yopie

kundalini 04.06.2005 00:42
Hallo!

Zu spät. Die Freitagnacht wurde zum Wiederaufsetzen (neue Rechtschreibung?) genutzt. Dabei habe ich auch gleich Firefox und Thunderbird aufgespielt. Leider unterstützt meine bisherige Virenschutzsoftware PC-Cillin 12 (flammneu) nicht Firefox!!!
Zur Not habe ich erst mal Antivir genommen. Was empfehlen den die Profis momentan. Am liebsten nätürlich Freeware oder günstig.

Grüße

KUNDALINI :daumenhoc

Yopie 04.06.2005 00:49
Was soll denn ein AV-Programm bei einem Browser unterstützen?

Wenn du Thundeerbird meintest: Wenn du einen verseuchten Anhang ausführst (schön blöd), dann wird der Wächter des AV-Progs meckern. Fall das AV-Prog den Virus erkennt, was überhaupt nicht sicher ist.... Alles andere ist imho Overkill und führt oft zu unerwarteten Problemen wie z.B. dem Verlust der Inbox.

Was die Profis empfehlen: KAV und NOD32
Ich empfehle den Verzicht auf ein AV-Programm. Im Zweifel erkennt es den neuen Virus doch nicht.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129