Trojaner-Board - wer kann helfen...........?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - wer kann helfen...........? (https://www.trojaner-board.de/6290-helfen.html)

wer kann helfen...........?

hallo zusammen,

dann beschreibe ich nun mal meine probleme:

1.)wenn ich mit aol online bin (dsl-verbindung) erscheint nach kurzer zeit eine seite(hardcore), dann eine weitere in der ich ein ein modem auswählen soll.
schließe ich diese seiten ist auch die aol verbindung unterbrochen. länger als ca. 10 minuten ist internet nicht mehr möglich.

2.) ich habe keinen zugriff auf "software" in der systemsteuerung.
das icon ist zwar vorhanden, aber auf anklicken passiert nichts.

spybot zeigt dazu folgendes an:

Comload: <REG_SETTINGS> (Registrierungsdatenbank-Wert, nothing done)
HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Location

Dialler: Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\Hardcore

Dialler: Benutzer-Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-583907252-839522115-1060284298-1000\Software\Coulomb\Hardcore

ich habe das schon unzählige male gelöscht, es erscheint immer wieder.
(hardcore.exe, dateityp: anwendung, beschreibung: Content Access Plugin)

mein hijack this log sieht so aus:

Logfile of HijackThis v1.98.0
Scan saved at 17:12:55, on 11.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\wanmpsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\shico.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINNT\qservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
D:\SOFTWARE\CWshredder\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{65CBE6DB-5E15-46A4-8B1A-959DE85677B7}: NameServer = 195.93.69.134

die shico.exe gehört zu einem kartenlesegerät von hama.(lt. internet)

die überprüfung von C:\WINNT\qservice.exe bei

http://www.kaspersky.com/de/scanforvirus ergab nichts.

ad-aware zeigt folgendes an:

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainSearch Barabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Search Bar
Daten : "about:blank"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\SearchURLabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\SearchURL
Wert :
Daten : "about:blank"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet ExplorerSearchURLabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer
Wert : SearchURL
Daten : "about:blank"

Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"

da ich bisher solche probleme noch nie hatte, sind das hier alles "böhmische dörfer" für mich. was löschen----was nicht ????

es wäre echt nett wenn einer helfen könnte.

vielen dank

Also, du kannst eigentlich alles von Spybot und Ad-aware löschen lassen.
Danach scannst du mal hiermit:
http://www.trojaner-board.de/showthread.php?t=6083

Am besten alles im abgesicherten Modus.

Sollte danach weiter das Problem bestehen, poste mal ein neues Log.

Auf jedenfall sind diese beiden verdächtig
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i

CHeck die Dateien mal hier, wenn virolent , fixen !
http://www.kaspersky.com/de/remoteviruschk.html

Gruß paff

........am rande der verzweifelung............

also, ich habe jetzt so ziemlich alles ausprobiert was hier empfohlen wird, konnte das problem aber nicht beheben.

letzter versuch eScan:
hierzu nun noch eine frage:

muss ich das programm im abgesicherten modus herunterladen ?

... mein aol (dsl) funktioniert im abgesicherten modus nicht.

(sorry für die vielleicht dummen fragen aber ich kenne mich leider nicht damit aus)

danke

Zitat:

Zitat von smart112

........am rande der verzweifelung............
letzter versuch eScan:
hierzu nun noch eine frage:
muss ich das programm im abgesicherten modus herunterladen ?

Nein, lade es im Normalen Modus runter, entpacke es und update es.
Beschreibung:
http://www.rokop-security.de/board/i...showtopic=3867

Dann geh in den Abgesicherten Modus und scanne
Dann fixe noch diese beiden Einträge in HiJackThis
O4 - HKLM\..\Run: [shico] C:\WINNT\shico.exe
O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i

und starte normal und poste nochmal das HiJackThis Logfile.

Gruß paff
P.S. Wenn Fragen sind einfach posten, keine Hemmungen :)

ok und danke,

wie gesagt die shico.exe gehört lt. suche im internet zu meinem kartenlesegerät von hama.

die überprüfung von C:\WINNT\qservice.exe bei
http://www.kaspersky.com/de/scanforvirus ergab nichts.

ich probiers jetzt mal mit eScan

gruss smart112

Zitat:

O4 - HKLM\..\Run: [MSOfficeCfg] C:\WINNT\qservice.exe /i

Das ist ein HiJacker egal was kaspersky sagt :)
Es gibt keine MS Config Datei und schon garnicht im winnt

Fix den Eintrag, du kannst ihn jederzeit über die BAckUp Funktion von HiJackThis wieder aktivieren.

Schick die Datei bitte mal gezippt an virus@rokop-security.de
und wenn du schon dabei bist auch an mike_hangover@gozomail.com :)

Gruß paff

hallo,

@paff

zunächst einmal vielen dank für die hilfe

ich hätte dir die datei gerne geschickt, aber nach dem starten im abgesicherten modus und dem scannen (erfolglos) mit escan ist sie spurlos verschwunden.
kann das sein oder bin ich nur zu blöd ??

seit dem ist das problem aber nicht mehr aufgetreten. ich hoffe es bleibt so.

nun habe ich aber noch eine frage:

hier sprechen alle von browserwechsel. ich benutzte ausschließlich aol fürs internet. geht da überhaupt ein wechsel ?

liebe gruesse smart112

Zitat:

hier sprechen alle von browserwechsel. ich benutzte ausschließlich aol fürs internet. geht da überhaupt ein wechsel ?

Aber sicher geht das - du holst dir den z. B. Firefox oder Opera dazu und surfst dann damit !

Firefox
Opera

Ja, das geht. Aber bitte nicht missverstehen: das System muss weiterhin aktuell gehalten werden, heißt: -> http://windowsupdate.com (und eben nur diese Seite mit dem IE aufrufen).

Ansonsten empfiehlt sich für's tägliche Surfen im Netz einer dieser hier:

- http://firefox-browser.de
- http://opera-info.de
- http://mozilla.kairo.at

Edit: Sorry, da war ich zu langsam.

Zitat:

Zitat von smart112

ich hätte dir die datei gerne geschickt, aber nach dem starten im abgesicherten modus und dem scannen (erfolglos) mit escan ist sie spurlos verschwunden.
kann das sein oder bin ich nur zu blöd ??

Escan wird die Datei erkannt haben.
Escan macht da kurzen Prozeß. :snyper:
Die löscht alles was ihr virulent vorkommt.

Gruß paff