|
Ich habe noch keine Erfahrung mit Hijack this Hallo in einem Netzwerk haben mehrere PCs probleme mit "Schädlingen". Ich habe mich in den letzten Tagen in das Trojaner-board eingelesen und möchte einen ersten Versuch machen. Der PC hat das Betriebssystem WIN 98 SE. Nicht alle Updates von MS sind aufgespielt. Ich habe entsprechend der im Board vorgeschlagenen Vorgehensweise einen Virenscan normal mit Symantec Antivirus (neuestes Virenupdate) durchgeführt. Danach wurde im abgesicherten Modus mit neuestem Ad Aware 6.0.181 eine Scan gemacht die gefundenen 6 Data-Mining Cookies wurden entfernt. Ein weiterer Scan mit SpyBot ebenfalls im abgesicherten Modus und mit neuesten Updatestand durchgeführt und mit "No immediate Threats were found" beendet. Danach wurde ein eScan nach Vorschlag (letztes Update, abgesicherter Modus durchgeführt mit folgendem Ergebnis: File C:\IBMTOOLS\APPS\PCDR\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken. File C:\Eigene Dateien\Privat\PalaceClient3_4_1setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Danach wurde ebenfalls im abgesch.Modus ein Hijack This gemacht. Logfile of HijackThis v1.98.2 Scan saved at 19:56:00, on 22.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\AVM_UPDATE\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.212.210:3128/ken.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.212.210:3128;https=192.168.212.210:3128;ftp=192.168.212.210:3128;socks=192.168.212.210:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253 Bitte unterstützt mich, damit ich dann auch in der Lage bin den z.Zt. noch in Scans befindlichen Übeltäter ( der PC legt im Netzt den KenServer lahm und trennt ihn von den übrigen PCs im Netz. |
Dein Log schaut eigentlich sauber aus ... |
hi kannst du eventuell auch ein logfile, vom vollbetrieb hier posten?? |
Hi theo-mann! :) Hab mal noch n bisschen rumgegoogelt, du solltest deshalb noch folgende Sache fixen: O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF VLG Moskitoman :teufel3: |
Hallo theo-mann, überprüfe mit dem online-scan von Kaspersky: C:\WINDOWS\INF\ZIBMACC.INF Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck). ===@=== Arbeite nun bitte zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "ZIBMACC.INF-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!) ===@=== Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! ===@=== Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf. ===@=== Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/den Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es. SD |
Hallo zunächst möchte ich mich einmal herzlich für die erhaltene Hilfe bedanken. Die Vorschläge von Shadowdance habe ich alle in der beschriebenen Reihenfolge abgearbeitet und den Eintrag über die datei "ZIPMACC.inf" ge-fixt. Hier folgtder neueste HijackThis.log Logfile of HijackThis v1.98.2 Scan saved at 02:05:26, on 24.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2919.6304) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE C:\PROGRAMME\KEN!\KENCLI.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\PELMICED.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE C:\PROGRAMME\KEN!\KENTBCLI.EXE C:\WINDOWS\RunDLL.exe C:\PROGRAMME\HARDCOPY\HARDCOPY.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\AVM_UPDATE\AVTOOLS\HIJACK\HIJACKTHIS.EXE R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253 Die Emails mit den restlichern Daten folgen morgen bzw. heute , denn es ist inzwischen Sonntag 2:30 und der morgige Tag wird lang denn es sind noch weitere 5 PCs zu fixen. mfg theo-mann |
Hallo theo-mann, da ich nicht weiß, welche Programme auf Deinem/Eurem System laufen, gebe ich Dir den Link zur automatischen Auswertung. Es sind noch ein paar gelbe Fragezeichen in Deinem Logfile, die unbekannte Programme/Einträge betreffen. Ob Du sie mit Hijack This (Häk'chen setzen und auf fix checked klicken) fixed, liegt an Dir, bzw. daran, ob Du die Programme/Einträge kennst/brauchst: die automatische Auswertung - bitte das Logfile mittels copy&paste dort hineinkopieren. Ich gebe Dir den Link zur HijackThis Anleitung in deutsch: hier erfährst Du, was Du bearbeitest. Wenn Du Programme/Einträge fixed, dann bitte im abgesicherten Modus, offline. Prozesse musst Du ausserdem beenden und den Pfad dann löschen. Zitat:
Dass dazu diese Funktionen aktiviert bzw. abgeschaltet sein sollten, dürfte bekannt sein: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk) Es gibt übrigens Browser, die mindestens so gut sind wie der IE, aber wesentlich sicherer: - Vorbeugende Maßnahmen: www.trojaner-info.de - www.mathematik.uni-marburg.de - IE sicher konfigurieren: www.datenschutzzentrum.de. - Einschränktes Benutzerkonto: www.ntsvcfg.de. Viel Erfolg. SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 15:47 Uhr. |
Copyright ©2000-2025, Trojaner-Board