Trojaner-Board
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Keine Internetverbindung mehr nach CWS Attacke (https://www.trojaner-board.de/8829-keine-internetverbindung-mehr-cws-attacke.html)

D.Alvarado 22.03.2005 18:40
Also ich hab zusätzlich fest gestellt, das bei meinem "Kunden" noch eine "Rut3.bat" auf C:\ erstellt worden ist. Hab mir mit einem Regcleaner angeschaut, wie der Eintrag der se.dll von statten geht.

Nachdem Windows (98se) sich gestartet hat, wurde die Rundll32.exe zweifach gestartet, was ja nicht normal ist. In der Rundll32.exe war/ist ein String, der den Registryeintrag und die Rundll32.exe wieder startete. Dies hat zur Folge gehabt, das sich der Registryeintrag der se.dll gleich auf's Neue eingetragen hat (was halt zur Folge hatte, das man nicht aktiv gegen den CWS vorgehen konnt) und gleichzeitig den ohnehin zu schwachen Rechner in die Knie zwung.

Nachdem ich die o.g. Datei (Rut3.bat) in eine txt umgewandelt hab (sicher ist sicher) wurde die Rundll32.exe nur noch einmal gestartet (normal)
Der Reg-Schlüssel lies sich entfernen.

Allerdings verbrachte ich dadurch knapp 2 Stunden damit, die Rundll32.exe zu stoppen.

Vllt. lag es ja an einem weiteren Trojaner, der sich direkt als Einwahlprogramm installiert hat. Aber es hat die Beseitigung des eigentlichen Übeltäter doch sehr erschwert. Wäre nett, wenn ihr (Win98se User) mal checkt, ob ihr ebenfalls ausser der autoexec.bat noch eine weitere *.bat-Datei auf euer System-HD habt.

Sonst hat mir die Erklärung zur Beseitigung hier doch sehr geholfen.
Vor allem was das Problem mit der nachfolgenden I-Netverbindung betrifft.
(SmartSurfer wählt sich ein, kann allerdings keine Seite aufbauen.)

Gruß
D.Alvarado

chaosman 22.03.2005 20:29
@D.Alvarado
poste ein HJTlogfile
direktdownload
anleitung
chaosman

D.Alvarado 23.03.2005 16:29
Zitat:
Zitat von chaosman
poste ein HJTlogfile
Ne ne.. brauch ich ja nichtmehr. der CWS an sich is nun tot. Ging mir nur darum, ob vllt. noch andere User diese Rut3.bat hatten und auch ein ähnliches Problem bei der Beseitigung.

Hab soweit alles nachgelesen, was ich zur Behebung des "Restproblems" brauch. Dennoch danke. :)

D.Alvarado 30.03.2005 17:38
Hier nun doch mein Log.. wenn auch verspätet

Logfile of HijackThis v1.99.1
Scan saved at 18:31:45, on 30.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMURFUPD.EXE
C:\EIGENE DATEIEN\PROGRAMME - TOOLS\TOOL-SE.DLL\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\PROGRAMME\CANON\EASY-WEBPRINT\TOOLBAND.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM\E_SRCV03.EXE
O4 - Startup: SmartSurfer.lnk = C:\Programme\WEBDE\SmartSurfer3.0\SmartSurfer.exe
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\PROGRAMME\CANON\EASY-WEBPRINT\Resource.dll/RC_AddToList.html
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM)
O18 - Filter: text/html - {03571E82-901E-11D9-90AD-004043BB41F0} - (no file)
O18 - Filter: text/plain - {03571E82-901E-11D9-90AD-004043BB41F0} - (no file)
O20 - AppInit_DLLs: apitrap.dll;



Wenn ihr noch etwas findet, postet Gegenmaßnahmen.

danke im Vorraus ^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:53 Uhr.
Seite 2 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131