Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Unbekannter Virus lässt IE abstürzen! (https://www.trojaner-board.de/6069-unbekannter-virus-laesst-ie-abstuerzen.html)

Xychor 24.06.2004 17:18
Hallo,


seid einigen Tagen habe ich Probleme mit einem Virus, der langsam alle Programme, die Zugriff auf das Internet haben, zerstört, Z.b. reagiert der IE nach einigen wenigen Zugriffen nicht mehr (habe 15 Anläufe gebraucht um bis hier hin zu kommen) oder ICQ connected nicht mehr, jüngstes Beispiel mein Online banking Programm. Ich habe keine Ahnung um welchen Virus es sich handeln könnte oder woher er stammen könnte. Aufjedenfall hat vorher alles blendend funktioniert :(

Weiss jemand welcher Virus oder Wurm die "Symphtome" verursachen könnte? Wie gesagt noch ist nichts kaputt nur das halt div. Programme keine Verbindung mehr zum Internet bekommen.

MfG
Xy

mmk 24.06.2004 17:27
Hallo,

konntest du dein Problem von vor wenigen Tagen inzwischen beheben? Ich schließe nicht aus, dass es damit in Verbindung stehen könnte.

Erstell bitte ein LogFile und poste hier dessen Inhalt.

Xychor 24.06.2004 17:32
ok dann mal los:

</font><blockquote>Zitat:</font><hr />

Logfile of HijackThis v1.97.7
Scan saved at 18:30:55, on 24.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTSvcCDA.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\WINNT\system32\CTHELPER.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINNT\system32\rundll32.exe
C:\dokume~1\jan\lokale~1\temp\msbb.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mousometer\mousometer.exe
C:\Programme\Winamp\winamp.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\PCClient.EXE
C:\Programme\Trend Micro\Internet Security\PCCGUIDE.EXE
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.7.26:3128;http=192.168.7.26:3128;https=192.168.7.26:3128;socks=192.168.7.26:1080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINNT\system32\icogojo.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\dokume~1\jan\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [aror] C:\WINNT\aror.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: TREND MICRO HouseCall (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {7ED7005B-4AF6-4CFF-9AE0-F243C4B8260F} (HouseCallButton.setup) - http://de.trendmicro-europe.com/file...CallButton.CAB
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8112.129224537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - http://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB


</font>[/QUOTE]Bittesehr [img]smile.gif[/img]


MfG
Xy

mmk 24.06.2004 17:42
Such in C:\WINNT\ nach einer Datei namens aror.exe. Prüf sie, falls du sie findest, bitte hier: http://www.kaspersky.com/de/scanforvirus


Adware 180-Solutions:
C:\dokume~1\jan\lokale~1\temp\msbb.exe

Tipp: Entfernung mit Spybot Search and Destroy. ( http://security.kolla.de )

Zusätzlich das Tool LSPFix laden, aber nur dann ausführen, wenn die Entfernung dieser Adware Verbindungsprobleme nach sich ziehen sollte:
http://www.webattack.com/get/lspfix.html


Diese Einträge mit HijackThis fixen:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://www.startsmart.tv/search
O2 - BHO: (no name) - {62160EEF-9D84-4C19-B7B8-6AC2526CD726} - C:\WINNT\system32\icogojo.dll (file missing)
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINNT\2_0_1browserhelper2.dll (file missing)

O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINNT\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [msbb] c:\dokume~1\jan\lokale~1\temp\msbb.exe
O4 - HKLM\..\Run: [aror] C:\WINNT\aror.exe
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - h+tp://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {E8EDB60C-951E-4130-93DC-FAF1AD25F8E7} (MoneyTree Dialer) - h+tp://cdn.climaxbucks.com/mt/dialers/fc/UniDistIO.CAB


Gerade wenn und weil du Onlinebanking machst: Verwende möglichst nicht den unsicheren Internet Explorer. Besser:

- http://mozilla-europe.org/de

Xychor 24.06.2004 20:16
Hallo mmk!

Vielen dank erstmal für die schnelle Hilfe [img]graemlins/daumenhoch.gif[/img]
Also:

ich habe die exe tatsächlich gefunden (sie war versteckt) und sie gescannt wie du gesagt hast.
Alles positiv nichts dran.

Die Einträge habe ich alle gefixt. Search & destroy und mozilla habe ich nun auch.

Aaaaber das Problem mit ICQ etc. besteht weiterhin, wobei der IE jetzt wiedernormal arbeitet.

MfG
Jan


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129