Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   immer noch about:blank verändert... (https://www.trojaner-board.de/6647-immer-noch-about-blank-veraendert.html)

hmenny 04.08.2004 09:18
immer noch about:blank verändert...
 
meine IE-Startseite ist noch immer verändert. Nach Tip von Lutz habe ich escan arbeiten lassen. Dabei folgende Viren gefunden und gelöscht:

Fri Jul 30 15:30:39 2004 => Process C:\WINNT\system32\SCVHOST.EXE Found running in Memory...
Fri Jul 30 15:30:39 2004 => *** Killing Infected Process C:\WINNT\System32\SCVHOST.EXE...
Fri Jul 30 15:30:40 2004 => *** Killing Successful.
Fri Jul 30 15:30:41 2004 => File C:\WINNT\System32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: File Deleted.

Fri Jul 30 15:30:46 2004 => Scanning File C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
Fri Jul 30 15:30:47 2004 => ERROR!!! Invalid Entry KEWelcomeReBoot = E:\welcome_S500.exe. Removing it.
Fri Jul 30 15:30:47 2004 => Scanning File C:\WINNT\System32\REGCPM32.EXE
Fri Jul 30 15:30:47 2004 => File C:\WINNT\System32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: File Deleted.

Fri Jul 30 15:30:47 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINNT\System32\REGCPM32.EXE (which is infected)!
Fri Jul 30 15:30:47 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RegCompres deleted because it is infected by a Virus

Fri Jul 30 15:33:39 2004 => Scanning File C:\WINNT\System32\xdldr24.exe
Fri Jul 30 15:33:39 2004 => File C:\WINNT\System32\xdldr24.exe infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: File Deleted.

habe nochmal hijackthis laufen lassen... Ergebnis:

Logfile of HijackThis v1.98.0
Scan saved at 10:18:53, on 04.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SYSTEM32\THOTKEY.EXE
C:\Programme\TOSHIBA\TME3\Tmesbs3.exe
C:\Programme\TOSHIBA\TME3\Tmesrv3.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\system32\usrbridg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\TPWRTRAY.EXE
C:\WINNT\System32\TFNF5.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE
C:\Programme\Common Files\LapLink\Scheduler\LLSCHENG.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\Palm\HOTSYNC.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\MSACCESS.EXE
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\M~2\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.66.135.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;192.168.*;*.intern;172.23.20.200;;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CriticalUpdate] "C:\WINNT\System32\wucrtupd.exe" -startup
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV3.EXE /Logon
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS3.EXE /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.exe...0/dexPL897.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXX.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF122BFE-8FE6-4ADA-86CB-B5FED82E1B0D}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA2A7227-4C0B-457A-A1D5-BEAF14D42618}: Domain = XXX.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXX.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXX.de
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll

*Christian* 04.08.2004 15:08
Du solltest unbedingt mal www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Fixen:
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.ex...80/dexPL897.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll

Danach die Datei C:\WINNT\System32\CFILORUX.dll manuell löschen.
Die anderen Dateien/Prozesse sagen mir nichts. Sollte vielleicht jemand anderes mal anschauen.

hmenny 05.08.2004 14:18
Habe einträge gefixt aber kann die Datei nicht löschen ("wird von Windows benutzt") Daher sind beim erneuten scan auch die O18-Einträge wieder da und die Startseite entsprechend.
Gibts da nen Trick?

*Christian* 05.08.2004 14:24
Hab vergessen es dir zu sagen:
Mach das ganze im abgesicherten Modus.

850 05.08.2004 15:15
Hallo,
Lade dir die neuste Version von Hijack Version 1.98.1 und probiere es
dann nochmal, ich konnte die Einträge dann fixen

*Christian* 05.08.2004 16:16
Unabhängig von der Version.
Das löschen ist im abgesicherten Modus zu machen.

Danach kannst du ja nochmal ein Log mit der neuen Version von HijackThis posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19