Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Hilfe ich habe mir etwas eingefangen (https://www.trojaner-board.de/18766-hilfe-habe-mir-etwas-eingefangen.html)

humperdink 08.06.2005 10:27
Hilfe ich habe mir etwas eingefangen
 
Hallo!
Kann mir hier Jemand helfen. Ich bekomme ständig nachfolgende Warnung mit nachfolgendem Öffnen einer Webseite (siehe nachfolgend).

Windows - Warnung: # 137 Microsoft Secrurity Warning
….. accessed by port
- 8080
- 3128

…. Click “OK” to choose and download free spyware romoval using AntiSPY

danach nachfolgendeWeb-Site aufgerufen:

h**p://antispy.specialgoods.info/index.php?qq=remove+spyware&id=30777&said=ad0360

In Zone Alarm bekomme ich nachfolgenden Hinweis auf „dropper.exe“
Den habe ich im DOS-Fenster gefunden und gelöscht.

Produktname
Dateiname C:\WINDOWS\Downloaded Program Files\dropper.exe
Richtlinie Manuell konfiguriert
Letzte Richtlinienaktualisierung Nicht zutreffend
Version
Erstellungsdatum 04.06.05 14:36:42
Dateigröße 46 KB

Der Scan von Ad-Aware brachte mir nachfolgende Meldung:

Ad-Aware SE Build 1.06r1
Logfile Created on:Mittwoch, 8. Juni 2005 10:46:29
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R47 24.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
MRU List(TAC index:0):4 total references
Win32.Trojan.DesktopHijack(TAC index:6):2 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Details:

tarted registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Win32.Trojan.DesktopHijack Object Recognized!
Type : Regkey
Data :
TAC Rating : 6
Category : Malware
Comment :
Rootkey : HKEY_CLASSES_ROOT
Object : clsid\{d56a1203-1452-eba1-7294-ee3377770000}

Win32.Trojan.DesktopHijack Object Recognized!
Type : RegValue
Data :
TAC Rating : 6
Category : Malware
Comment : "{D56A1203-1452-EBA1-7294-EE3377770000}"
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
Value : {D56A1203-1452-EBA1-7294-EE3377770000}


Der Logfile von HJT sieht wie folgt aus. Welche Teile kann ich davon fixen?
Bitte um Hilfe
Vielen Dank im Voraus.
Matthias

Logfile of HijackThis v1.99.1
Scan saved at 13:30:48, on 07.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDUL2.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ACRONIS\TRUEIMAGE\TRUEIMAGEMONITOR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\ACRONIS\SCHEDULE2\SCHEDHLP.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\EUMEX 404PC\CAPICTRL.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.specialgoods.info/ad/ad0360/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.ExE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [wizard] €
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\PROGRAMME\COREL\GRAPHICS10\REGISTER\NAVBROWSER.EXE" /r /i "C:\PROGRAMME\COREL\GRAPHICS10\REGISTER\NavLoad.ini"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 404PC\Capictrl.exe
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.aol.de/e60/
_____________
Anm.
Aufgrund deines Crosspostings wurden nur die brauchbaren Posts aus diesem Thread herausgelöst!


LG Cidre
S-Mod TB

chaosman 08.06.2005 11:39
@humperdink

lasse diese datei C:\WINDOWS\Downloaded Program Files\dropper.exe
hier http://virusscan.jotti.org/de/

überprüfen und poste das ergebnis

chaosman

Rene-gad 08.06.2005 11:44
@humperdink
fixe bitte den Eintrag:
Zitat:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.specialgoods.info/ad/ad0360/
Lösche im abgesicherten Modus die Datei:
Zitat:
C:\WINDOWS\Downloaded Program Files\dropper.exe
Das
Zitat:
O4 - HKLM\..\Run: [wizard] €
kenne ich leider nicht.

humperdink 08.06.2005 20:33
Die Überprüfung hat ergeben:

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Kannst Du damit etwas anfangen?

Danke im Voraus.


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131