www.onpanel.com
 

Ich habe beim gugeln schon öfter dieses Problem gelesen. Beim Systemstart erscheint beim booten ein fenster indem steht. www onpanel.com! Geht man mit dem Browser auf diese Seite, findet man nix, außer das diese site nicht existiert. Allerdings habe ich folgende Daten über whois herausgefunden. Vielleicht hilft es ja jemandem?

Registrant:
New Ventures Services, Corp
ATTN: ONPANEL.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA. 20172-0447

Domain Name: ONPANEL.COM

Administrative Contact, Technical Contact:
New Ventures Services, Corp nq56w9f67pw@networksolutionsprivateregistration.com
ATTN: ONPANEL.COM
c/o Network Solutions
P.O. Box 447
Herndon, VA 20172-0447
570-708-8780

Record expires on 29-Aug-2006.
Record created on 29-Aug-2001.
Database last updated on 9-Oct-2005 18:08:54 EDT.

Domain servers in listed order:

NS27.WORLDNIC.COM 216.168.228.16
NS28.WORLDNIC.COM 216.168.225.158

This listing is a Network Solutions Private Registration. Mail
correspondence to this address must be sent via USPS Express Mail(TM) or
USPS Certified Mail(R); all other mail will not be processed. Be sure to
include the registrant’s domain name in the address.

Ihr könnt gerne Eure Erfahrungen mit mir teilen. Das Problem tritt schon häufig auf und wird sicher noch zunehmen. Ich denke es handelt sich dabei um einen Trojaner, da das Fenster mit w*w.onpanel.com gleich beim booten erscheint. Außerdem habe ich senkrecht rote Streifen auf meinem 19" TFT-Monitor von Medion, die ich leider noch nicht weg bekommen habe.

Mfg Derrick

[edit]
links entfernt
[/edit]

Servus, derrick!
Poste doch einmal ein HJT-Logfile http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi

Hey Stupormundi,

danke für deine Antwort. HJT ... schon geschehen. Guckst du hier!

http://www.trojaner-board.de/showthread.php?t=21104

Dort habe ich es schon gepostet.Ich wurde allerdings nicht erhört in den Weiten des Internet. Habe das Posting auch schon mehrfach wieder hoch geholt. Ohne Erfolg. Bis jetzt.

Na mal gucken, ob Ihr was findet.

Ciao und viele Grüße derrick

Tja, derrick, dann bleiben wir auch dort in diesem tread, sonst wird es unübersichtlich!
Werde die Mods bitten, diesen Beitrag entweder zu löschen oder die beiden Beträge zusammen zu führen!
stupormundi
~~EDIT~~Kommando: retour! Der erste thread ist ja schon in der Mülltonne!
Poste bitte ein neues, aktuelles HJT-Logfile hier, damit man damit auch arbeiten kann
cu, stupormundi ~~/EDIT~~

hey stupormundi,

hier mein HijackThis-Logfile:

Logfile of HijackThis v1.99.1

[edit]
bitte editiere deine links, wie es dir beim eröffnen eines beitrages angezeigt wird

danke
GUA
[/edit]

Ok. Hier also ein neues editiertes HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:38:23, on 16.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\eScan\TRAYESER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\User\LOKALE~1\Temp\Rar$EX00.266\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.cortalconsors.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=explorer.exe
O1 - Hosts: 127.0.0.0 localhost
O1 - Hosts: 127.0.0.2 auditmypc.com
O1 - Hosts: 127.0.0.4 bulletproofsoft.net
O1 - Hosts: 127.0.0.5 camtech2000.net
O1 - Hosts: 127.0.0.6 cexx.org
O1 - Hosts: 127.0.0.7 computercops.us
O1 - Hosts: 127.0.0.8 ct7support.com
O1 - Hosts: 127.0.0.9 doxdesk.com
O1 - Hosts: 127.0.0.20 kellys-korner-xp.com
O1 - Hosts: 127.0.0.21 kephyr.com
O1 - Hosts: 127.0.0.24 lurkhere.com
O1 - Hosts: 127.0.0.25 majorgeeks.com
O1 - Hosts: 127.0.0.26 merijn.org
O1 - Hosts: 127.0.0.27 mjc1.com
O1 - Hosts: 127.0.0.28 moosoft.com
O1 - Hosts: 127.0.0.29 mvps.org
O1 - Hosts: 127.0.0.30 net-integration.net
O1 - Hosts: 127.0.0.31 noadware.net
O1 - Hosts: 127.0.0.32 no-spybot.com
O1 - Hosts: 127.0.0.33 onlinepcfix.com
O1 - Hosts: 127.0.0.34 pchell.com
O1 - Hosts: 127.0.0.35 pestpatrol.com
O1 - Hosts: 127.0.0.36 safer-networking.org
O1 - Hosts: 127.0.0.37 secure.spykiller.com
O1 - Hosts: 127.0.0.38 secureie.com
O1 - Hosts: 127.0.0.39 security.kolla.de
O1 - Hosts: 127.0.0.40 spybot.info
O1 - Hosts: 127.0.0.41 spychecker.com
O1 - Hosts: 127.0.0.42 spychecker.com
O1 - Hosts: 127.0.0.43 spycop.com
O1 - Hosts: 127.0.0.44 spyguard.com
O1 - Hosts: 127.0.0.45 spykiller.com
O1 - Hosts: 127.0.0.46 spyware.co.uk
O1 - Hosts: 127.0.0.47 spyware-cop.com
O1 - Hosts: 127.0.0.48 spywareinfo.com
O1 - Hosts: 127.0.0.49 spywarenuker.com
O1 - Hosts: 127.0.0.50 spywareremove.com
O1 - Hosts: 127.0.0.51 spywareremove.com
O1 - Hosts: 127.0.0.52 stopzillapro.com
O1 - Hosts: 127.0.0.53 sunbelt-software.com
O1 - Hosts: 127.0.0.54 thiefware.com
O1 - Hosts: 127.0.0.55 tomcoyote.org
O1 - Hosts: 127.0.0.56 unwantedlinks.com
O1 - Hosts: 127.0.0.57 webattack.com
O1 - Hosts: 127.0.0.58 wilders.org
O1 - Hosts: 127.0.0.59 w*w.auditmypc.com
O1 - Hosts: 127.0.0.60 w*w.bulletproofsoft.net
O1 - Hosts: 127.0.0.61 w*w.cexx.org
O1 - Hosts: 127.0.0.62 w*w.computercops.us
O1 - Hosts: 127.0.0.63 w*w.ct7support.com
O1 - Hosts: 127.0.0.64 w*w.doxdesk.com
O1 - Hosts: 127.0.0.65 w*w.eblocs.com
O1 - Hosts: 127.0.0.66 w*w.enigmasoftwaregroup.com
O1 - Hosts: 127.0.0.67 w*w.free-spyware-scan.com
O1 - Hosts: 127.0.0.68 w*w.free-web-browsers.com
O1 - Hosts: 127.0.0.69 w*w.grc.com
O1 - Hosts: 127.0.0.70 w*w.grisoft.com
O1 - Hosts: 127.0.0.71 w*w.hackfaq.org
O1 - Hosts: 127.0.0.72 w*w.hazeleger.net
O1 - Hosts: 127.0.0.73 w*w.javacoolsoftware.com
O1 - Hosts: 127.0.0.74 w*w.kellys-korner-xp.com
O1 - Hosts: 127.0.0.75 w*w.kephyr.com
O1 - Hosts: 127.0.0.78 w*w.lurkhere.com
O1 - Hosts: 127.0.0.79 w*w.majorgeeks.com
O1 - Hosts: 127.0.0.80 w*w.merijn.org
O1 - Hosts: 127.0.0.81 w*w.mjc1.com
O1 - Hosts: 127.0.0.82 w*w.moosoft.com
O1 - Hosts: 127.0.0.83 w*w.mvps.org
O1 - Hosts: 127.0.0.84 w*w.net-integration.net
O1 - Hosts: 127.0.0.85 w*w.noadware.net
O1 - Hosts: 127.0.0.86 w*w.no-spybot.com
O1 - Hosts: 127.0.0.87 w*w.onlinepcfix.com
O1 - Hosts: 127.0.0.88 w*w.pchell.com
O1 - Hosts: 127.0.0.89 w*w.pestpatrol.com
O1 - Hosts: 127.0.0.90 w*w.safer-networking.org
O1 - Hosts: 127.0.0.91 w*w.secureie.com
O1 - Hosts: 127.0.0.92 w*w.security.kolla.de
O1 - Hosts: 127.0.0.93 w*w.spybot.info
O1 - Hosts: 127.0.0.94 w*w.spychecker.com
O1 - Hosts: 127.0.0.95 w*w.spychecker.com
O1 - Hosts: 127.0.0.96 w*w.spycop.com
O1 - Hosts: 127.0.0.97 w*w.spyguard.com
O1 - Hosts: 127.0.0.98 w*w.spykiller.com
O1 - Hosts: 127.0.0.99 w*w.spyware.co.uk
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Server] C:\PROGRA~1\eScan\ESERV.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\eScan\Cleanup.exe
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS\System32\toolbar_.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: PDF in Word öffnen - res://C:\Programme\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /500
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://w*w.medionshop.de/ (file missing) (HKCU)
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://w*w.aldi.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} - https://www-secure.symantec.com/tech...a/SymAData.cab
O23 - Service: eScan Management-Console (eScan-eServ) - MWTI2 - C:\PROGRA~1\eScan\TRAYESER.EXE
O23 - Service: eScan Server-Updater (eScan-trayicos) - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MetaTrader Data Center (mtdcsrv) - Unknown owner - C:\Programme\MetaTrader Data Center\mtdcsrv.exe" /start (file missing)

Entpacke HjT bitte in einen eigenen Ordner.
Fixe dann im abgesicherten Modus diese Einträge mit HjT:Ist dir diese Datei, bzw. das Programm bekannt?
C:\Programme\MetaTrader Data Center\mtdcsrv.exe

Lösche die Datei C:\Programme\eScan\mwav.log
Aktualisiere eScan und führe einen Scan im abgesicherten Modus durch.
Kopiere die Datei C:\Programme\eScan\mwav.log in den von dir erstellten Ordner C:\bases_x und poste die Funde bitte, wie hier beschrieben (Find.bat).

Hallo Haui45,

wie gesagt, so getan. habe mich an deine anleitung gehalten und diese Ergebnisse wurden gefunden mit escan:

Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\TempIccProfiles\". Action Taken: Entries Removed.
Entry "HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Folders" refers to invalid object "C:\Programme\Adobe\Acrobat 6.0\TempIccProfiles\Non-Recommended\". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{0B45B282-3D6D-4A39-BF36-9E00AB901AFB}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\Word8.0\MSForms.exd". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{C2D66E4E-D645-40B2-AD06-8ADD1D35B7D5}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: Entries Removed.
Entry "HKCR\TypeLib\{F87C79CF-6B43-4CA3-A00C-884A51342359}" refers to invalid object "C:\DOKUME~1\User\LOKALE~1\Temp\VBE\RefEdit.exd". Action Taken: Entries Removed.

ciao derrick

ps, die datei metatrader ... kenne ich, habe ich aber trotzdem gelöscht, weil nicht essentiell.

Hallo allerseits!

Also ich habe eine Lösung zur Thematik "www.onpanel.com" !!!

Auch wenn sie den meisten nicht gefallen wird. Es wird sich bestimmt um einen bios-virus o.ä. handeln. Auf jeden Fall ist das beschriebene Fenster bei mir verschwunden, nachdem ich die bios-batterie herausgenommen habe.
Dann funktionierte alles wieder bestens, auch wenn es ne ganze schöne Arbeit ist sein System wieder aufzubauen. Also viel Glück...

mfg derrick