Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676 (https://www.trojaner-board.de/6809-hilfe-kennt-res-c-winnt-vxkpk-dll-index-html-96676-a.html)

oronner 12.08.2004 09:14
HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676
 
Ich habe mit allen Tools wie AdAware, Hijack this, CWShredder, Xclean, Spybot schon probiert: Immer wieder kommt diese Startseite. Ich bin am verzwifeln. Hat dies vielleicht mit den Programmen "Shopping Wizard" und Search Extender" zu tun, welche ich via Systemsteuerung/Software nicht entfernen kann (Fehlermeldung: http://looking-for.cc/uninstall/ShoppingWizard.html konnte nicht geöffnet werden.
Ich bin für jede Hilfe dankbar. :confused:

MountainKing 12.08.2004 09:18
Da dürftest du ganz richtig vermuten.
Führe zunächst mal dies hier durch:

http://www.trojaner-board.de/42731-escan-anleitung.html

Danach poste bitte ein Hijackthis-Log.

oronner 12.08.2004 10:36
Danke für den Input. Ich habe nun den E-Scan im abgesicherten Modus durchgeführt sowie anschliessend den Hijack This. Anbei das HIJACKTHIS-log:

Logfile of HijackThis v1.98.2
Scan saved at 11:34:14, on 12.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\lotus\notes\ntmulti.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINNT\System32\DSentry.exe
C:\WINNT\System32\pctspk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINNT\system32\atljy.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\Palm\HOTSYNC.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINNT\system32\winid32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Daten OR\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = www.bluewin.ch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.google.ch/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {8292B285-FC35-F04C-9687-30E3C5DCC646} - C:\WINNT\d3hm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [atljy.exe] C:\WINNT\system32\atljy.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...22384e480b9c0d
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)


Danke für die weitere Hilfe.

MountainKing 12.08.2004 11:21
Windows per Update auf den neuesten Stand bringen (falls noch nicht geschehen). Dann fixen (offline und ohne den IE oder ein Explorer-Fenster geöffnet zu haben oder gleich im abgesicherten Modus):

C:\WINNT\system32\atljy.exe
C:\WINNT\system32\winid32.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\wkzlt.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\wkzlt.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {8292B285-FC35-F04C-9687-30E3C5DCC646} - C:\WINNT\d3hm.dll
O4 - HKLM\..\Run: [atljy.exe] C:\WINNT\system32\atljy.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...022384e480
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

Nach dem Fixen die .exe und .dll-Dateien noch löschen, falls vorhanden.

oronner 12.08.2004 12:39
Zitat:
Zitat von MountainKing
Windows per Update auf den neuesten Stand bringen (falls noch nicht geschehen). Dann fixen (offline und ohne den IE oder ein Explorer-Fenster geöffnet zu haben oder gleich im abgesicherten Modus):



Nach dem Fixen die .exe und .dll-Dateien noch löschen, falls vorhanden.

DANKE FUER DIE INFO. ABER WIE GEHT DAS FIXEN GENAU VOR SICH ANHAND DEINER LOG LISTE. KANNST DU MIR DETAIILIERTERE INFOS GEBEN. DANKE VIELMALS

MountainKing 12.08.2004 13:20
Fixen bezieht sich auf die entsprechende Funktion bei Hijackthis. Du machst nach dem Scan ein Häkchen bei den angeführten Einträgen und klickst dann auf "Fix Checked". Danach wie gesagt die Datein suchen und löschen, nach dem Neustart ein erneutes Log machen und bitte hier posten.

oronner 12.08.2004 14:11
Zitat:
Zitat von MountainKing
Fixen bezieht sich auf die entsprechende Funktion bei Hijackthis. Du machst nach dem Scan ein Häkchen bei den angeführten Einträgen und klickst dann auf "Fix Checked". Danach wie gesagt die Datein suchen und löschen, nach dem Neustart ein erneutes Log machen und bitte hier posten.
Also nun habe ich folgendes gemacht: Hijackthis im abgesicherten Modus und alle aufgelisteten Einträge gefixt bzw. gelöscht. Neuerlicher Hijackthis mit untenstehendem Log. (NB: Pop Ups erscheinen immer wieder)

Logfile of HijackThis v1.98.2
Scan saved at 15:10:31, on 12.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IreIKE.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\IPSecMon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\lotus\notes\ntmulti.exe
C:\Norman\Nvc\BIN\Zanda.exe
C:\WINNT\system32\winid32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\nipsvc.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Dell\AccessDirect\dadapp.exe
C:\WINNT\System32\PRPCUI.exe
C:\Programme\Dell\AccessDirect\DadTray.exe
C:\WINNT\System32\DSentry.exe
C:\Programme\IBM\Client Access\cwbckver.exe
C:\WINNT\System32\pctspk.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
C:\Palm\HOTSYNC.EXE
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Daten OR\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20

MountainKing 12.08.2004 14:47
Sind immer noch unschöne Sachen drin:

O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll

Die dll auch löschen.

Gehst du über ein Netzwerk ins Internet bzw. sagen dir diese unidom.local-Einträge was?

oronner 13.08.2004 09:37
Zitat:
Zitat von MountainKing
Sind immer noch unschöne Sachen drin:

O2 - BHO: (no name) - {CB56CB86-8965-0635-6008-7B57F1A2092B} - C:\WINNT\addhx32.dll

Die dll auch löschen.

Gehst du über ein Netzwerk ins Internet bzw. sagen dir diese unidom.local-Einträge was?

1. Anbei der aktuellste Log Save
2. Alle dll löschen?
3. Ja, ich gehe übers Netzwerk und Unidom ist unser Server.

Aber die Werbepop Ups kommen noch immer und die beiden Programme
Search Extender und Shopping Wizard sind immer noch im menü Systemsteuerung/Software drin, jedoch nicht zu entfernen und auch sonstwo nicht zu finden.

Es ist bald zum Kinderkriegen......


Logfile of HijackThis v1.98.2
Scan saved at 10:28:29, on 13.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Daten OR\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [netav.exe] C:\WINNT\netav.exe
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20

MountainKing 13.08.2004 09:47
Bei dem log fehlen aber eine Menge laufender Prozesse?

Du bist nach wie vor infiziert, der scheint aber neu zu sein:

http://securityresponse.symantec.com...etav.worm.html

Fixen und löschen:

O4 - HKLM\..\Run: [netav.exe] C:\WINNT\netav.exe

Deaktviviere die Systemwiederherstellung vor dem Löschen, dann rebooten und wieder aktivieren:
http://www.systemwiederherstellung-d...indows-xp.html

oronner 13.08.2004 09:59
Danke für den Tip, jedoch funktioniert die Systemwiederherstellungsdeaktivierung bei Windows 2000 nicht so wie beschrieben. Wo kann dies in diesem System geändert werden?

MountainKing 13.08.2004 10:03
Ups, sorry, der falsche Link, hier ist der richtige:

http://www.bsi.de/av/texte/wiederher_95982000.htm

oronner 13.08.2004 10:15
Sorry für die erneute Nachfrage: Also im normalen Modus fixen und löschen und dann in den abgesicherten Modus gehen oder im abges. Modus fixen und löschen und dann wieder rebooten?

oronner 13.08.2004 10:49
So, nun habe ich im abgesicherten Modus nochmals einen Scan durchgeführt und nach dem Fixen das folgende Log erhalten:

Logfile of HijackThis v1.98.2
Scan saved at 11:47:18, on 13.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Daten OR\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [CPortPatch] C:\WINNT\DockQuickInstall\cppch.exe
O4 - HKLM\..\Run: [DadApp] C:\Programme\Dell\AccessDirect\dadapp.exe
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINNT\System32\DSentry.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunOnce: [yhsxgb.txt] C:\WINNT\yhsxgb.txt
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Global Startup: SonicWALL VPN Client.lnk = C:\Programme\SonicWALL\SonicWALL VPN Client\SafeCfg.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = unidom.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{24922AC2-8CAA-4E96-9F7F-AC3EA1845CA3}: NameServer = 194.209.67.22,194.209.67.20


Jetzt werde ich den PC runterfahren und ins Wochenende gehen. Vielleicht erholt er sich dann. Ansonsten Danke für die Tips und hoffentlich muss ich mich am Montag nicht wieder melden.

Ciao

MountainKing 13.08.2004 12:18
Wieder was Neues drin:

O4 - HKLM\..\RunOnce: [yhsxgb.txt] C:\WINNT\yhsxgb.txt

auch fixen und löschen. Wenn es im abgesicherten Modus zu fixen geht, ist das im Zweifelsfall besser, manche der Schädlinge tauchen dann aber nicht im Log auf. Irgendwie scheint sich da noch etwas versteckt zu haben.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:32 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129