Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Kann div. Internetseiten nicht mehr öffnen. (https://www.trojaner-board.de/9811-div-internetseiten-mehr-oeffnen.html)

Patrick1969 19.11.2004 15:39
Kann div. Internetseiten nicht mehr öffnen.
 
Hallo Miteinander

Seit 2 Tagen habe ich ein Problem, das mich bisher einige Nerven kostete. Gewisse Internet-Seiten kann ich nicht mehr öffnen. D.h. der Explorer wird weiss, gibt vor, die Seite zu laden um dann nach einer Weile: "Seite kann nicht angezeigt werden" anzugeben. Andere Seiten funktionieren Problemlos.

Ich habe nun diverse AV-Programme vom Netz gesaugt und laufen lassen, hat nichts gebracht. Verschiedene Browser (IE, Netscape, Opera) bringen auch nichts. Temp. Internetfiles löschen auch nicht.

Hätte jemand von euch die Güte, mein Hijack-Log zu prüfen und mir einen Vorschlag zu machen, wie ich dem Problem Herr werden könnte? Ich muss wieder von zu Hause an mein Schul-Email-Konto rankommen.

Vielen Dank und hier das Log

Logfile of HijackThis v1.98.2
Scan saved at 15:43:33, on 19.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\E_S4I0F2.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\PROGRAM FILES\SIEMENS\ADSL\DSLAGENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE
C:\PROGRAMME\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAMME\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\Programme\Norton CleanSweep\Monwow.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.bluewin.ch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Bluewin
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.bluewin.ch"); (C:\Programme\Netscape\Users\dante69\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\SYSTEM\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O7 "EPUSB1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [ALiUSBfix] c:\windows\SYSTEM\GREENMK.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S4I0F2.EXE /P31 "EPSON Stylus Photo (Kopieren 2)" /O7 "EPUSB1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton CleanSweep\csinsm32.exe
O4 - Startup: EPSON CardMonitor.lnk = C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/275ae3aec2e2193...p/RdxIE601.cab
O16 - DPF: ConferenceRoom Java Client - http://irc.bluewin.ch/java/cr.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab

Gruss, Patrick

Yopie 19.11.2004 17:41
Unter http://hijackthis.de/logfiles/ac40f3...ae3178740.html siehst Du eine automatische Auswertung des Logs. Ich kann bei einem flüchtigen Überfliegen dort nichts schlimmes erkennen. Muss allerdings nichts heißen.

Interessant wäre vielleicht Deine hosts-Datei. Poste mal den Inhalt dieser Datei (keine Endung, bei Win98 imo unter C:/windows ).

Vielleicht hilft Dir auch ein eSacn weiter: http://www.trojaner-board.de/42731-escan-anleitung.html Anleitung beachten!

Gruß :daumenhoc
Yopie

Cidre 19.11.2004 17:55
Hallo,

optimiere doch mal deinen MTU Wert, entweder manuell oder automatisch mittels DFÜ Speed

Patrick1969 19.11.2004 18:34
Vielen Dank für eure Antworten

Die beiden als "böse" ausgewerteten Einträge der automatischen Hijack-This auswertung habe ich entfernt, hat nichts gebracht.

E-Scan habe ich auch schon im abgesicherten Modus laufen lassen, hat auch Viren angezeigt, aber wie entferne ich die? Hier das Log von E-Scan:

File C:\WINDOWS\preuninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\KONTAKTE.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\st-tlksu00680.exe tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken.
File C:\WINDOWS\instit.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TEMP\~tmp(2404-4{CH).exe tagged as not-a-virus:RiskWare.Dialer.P2PAg.b. No Action Taken.
File C:\WINDOWS\TEMP\~YG22F2.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\WINDOWS\TEMP\~YGD085.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~YG90A5.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~YG296.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~tmp(2404-4{CH).exe tagged as not-a-virus:RiskWare.Dialer.P2PAg.b. No Action Taken.
File C:\WINDOWS\TEMP\~YG22F2.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\WINDOWS\TEMP\~YGD085.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~YG90A5.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\TEMP\~YG296.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\MODEM11.CAB tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ieloader.dll infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preuninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\KONTAKTE.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\st-tlksu00680.exe tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken.
File C:\WINDOWS\instit.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Opera\Download\toonsporn.exe tagged as not-a-virus:PornWare.Dialer.PluginAccess. No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A6502AF.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A6502AF.scr infected by "Worm.Win32.Opasoft.a.pac" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1A6502AF.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\75350091.scr infected by "Worm.Win32.Opasoft.a.pac" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6F761642.exe infected by "Worm.Win32.Opasoft.b" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\753B548A.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\091113D9.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\3621291C.scr infected by "Worm.Win32.Opasoft.a.pac" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0B7A289D.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\6F7C6A3B.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\26472679.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7FAB4FC3.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02DB5041.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\02DE7A3D.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\042F5ECB.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\088B75FE.exe infected by "Worm.Win32.Opasoft.d" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\088B75FE.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\09112F6B.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0A6F3BEA.exe infected by "Worm.Win32.Opasoft.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0E8E3562.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0EFD48E7.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\23634835.scr infected by "I-Worm.Tanatos.b.dam" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\43890D1D.scr infected by "I-Worm.Tanatos.b.dam" Virus. Action Taken: No Action Taken.

So wie's ausschaut hab ich Opasoft. Im Moment bin ich mit dem avast-cleaner dran, zu versuchen ob der den wegbringt. Man muss halt versuchen, bis etwas funzt.

Die MTU Geschichte schau ich mir dann nachher auch noch an.

Gruss, Patrick

Die Hosts-Einträge sind ca. 20'000 Zeichen lang. Soll ich die Posten?

Shadowdance 19.11.2004 20:17
@ Patrick1969

File C:\WINDOWS\preuninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken --> braucht nicht gelöscht zu werden (zeitlicher Bestand).

diese Malware-Einträge bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus (VGA-Modus) "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten, ABER - bitte beachten: alle Dialer vor dem löschen auf Diskette sichern, falls sich Deine Telefonrechnung erhöht - Dialer-Hinweis.

File C:\WINDOWS\KONTAKTE.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\st-tlksu00680.exe tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken.

Anti W32.Opasoft (Varianten A-F) :

File C:\WINDOWS\instit.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf:

C:\WINDOWS\TEMP

nicht löschen:

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\MODEM11.CAB tagged as not-a-virus:FalseAlarm.Symantec.Ptsnoop. No Action Taken.

von Hand löschen (siehe oben): -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen![/i]" (Cidre)

File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ieloader.dll infected by "TrojanDownloader.Win32.Ladder" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\preuninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken --> braucht nicht gelöscht zu werden (zeitlicher Bestand).

von Hand löschen (siehe oben) - Dialer-Hinweis:

File C:\WINDOWS\KONTAKTE.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\WINDOWS\st-tlksu00680.exe tagged as not-a-virus:PornWare.Dialer.OnlineDialer. No Action Taken.

Anti W32.Opasoft (Varianten A-F) :

File C:\WINDOWS\instit.bat infected by "Worm.Win32.Opasoft.e" Virus. Action Taken: No Action Taken.

von Hand löschen (siehe oben) - Dialer-Hinweis:

File C:\Programme\Opera\Download\toonsporn.exe tagged as not-a-virus:PornWare.Dialer.PluginAccess. No Action Taken.

Den Ordner C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine leeren.

Zitat:
So wie's ausschaut hab ich Opasoft.
--> ja, hast Du und um den Worm.Win32.Opasoft.e wegzubringen, musst Du ein Cleanertool verwenden: Anti W32.Opasoft (Varianten A-F)

Ausserdem hast Du I-Worm.Tanatos.b alias W32/Bugbear-B auf dem System und solltest vorsichtshalber das Cleaner-Tool auf Deinem Rechner ausführen: Anti W32.Bugbear (Variante A+B).

Zitat:
Die Hosts-Einträge sind ca. 20'000 Zeichen lang. Soll ich die Posten?
--> nein, aber gib ein paar Beispiele an, was Du genau meinst.

Hast Du Deinen Rechner ausserdem bereits mit 'Ad-Aware 6 Personal' und 'Spybot-Search & Destroy 1.3' gereinigt? Schau mal hier:
www.trojaner-info.de.

Erstelle dann bitte ein neues Hijack This Logfile und poste es.
SD

Patrick1969 19.11.2004 23:55
Hallo Sundance

Ich habe alles gemäss Deiner Beschreibung gemacht. Ich hatte auch schon Ad-Aware, Spybot, cwshredder, Norton (upgedated) und Kavperski laufen lassen (sowie noch andere Tools, deren Namen mir grad nicht mehr einfällt).

Leider verhält es sich immer noch so, dass bestimmt Internet-Seiten nicht geöffnet werden können. Mit dem Speed meines Modems hat das nichts zu tun. Rein intuitiv finde ich es auffällig, dass es sich um die von mir am meisten besuchten Seiten handelt (also solche, welche in der Adressleiste auch zuoberst zu finden waren).

Hier mein neues Hijack-Log:

Logfile of HijackThis v1.98.2
Scan saved at 23:56:33, on 19.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPROXY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\WINDOWS\SYSTEM\E_S4I0F2.EXE
C:\WINDOWS\SYSTEM\E_S4I0F2.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\GSICON.EXE
C:\PROGRAM FILES\SIEMENS\ADSL\DSLAGENT.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\ADAPTEC\EASY CD CREATOR 4\CREATECD\CREATECD.EXE
C:\PROGRAMME\NORTON UTILITIES\SYSDOC32.EXE
C:\PROGRAMME\NORTON CLEANSWEEP\CSINSM32.EXE
C:\PROGRAMME\EPSON\EPSON CARDMONITOR\EPSON CARDMONITOR1.2.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\Programme\Norton CleanSweep\Monwow.exe
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bluewin.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.bluewin.ch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.de.netscape.com/de/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Bluewin
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.bluewin.ch"); (C:\Programme\Netscape\Users\dante69\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\SYSTEM\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O7 "EPUSB1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [ALiUSBfix] c:\windows\SYSTEM\GREENMK.exe
O4 - HKLM\..\Run: [EPSON Stylus Photo (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S4I0F2.EXE /P31 "EPSON Stylus Photo (Kopieren 2)" /O7 "EPUSB1:" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [GSICONEXE] gsicon.exe
O4 - HKLM\..\Run: [DSLAGENTEXE] C:\Program Files\Siemens\Adsl\dslagent.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\ADAPTEC\EASYCD~1\CREATECD\CREATECD.EXE -r
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccProxy] C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPROXY.EXE
O4 - HKLM\..\RunServices: [SndSrvc] C:\PROGRA~1\GEMEIN~1\SYMANT~1\SNDSRVC.EXE
O4 - Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton CleanSweep\csinsm32.exe
O4 - Startup: EPSON CardMonitor.lnk = C:\Programme\EPSON\EPSON CardMonitor\EPSON CardMonitor1.2.exe
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\PROGRA~1\MICROS~2\OFFICE\1031\PHDINTL.DLL/phdContext.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .swf: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\NPSWF32.dll
O12 - Plugin for .avi: C:\PROGRAMME\NETSCAPE\COMMUNICATOR\PROGRAM\PLUGINS\npavi32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.bluewin.ch
O16 - DPF: ConferenceRoom Java Client - http://irc.bluewin.ch/java/cr.cab

Vielen Dank für Deine, bzw. eure Bemühungen mir zu helfen.

Gruss, Patrick

cacatoa 20.11.2004 00:07
@ patrick1969:
Obwohl sie manchmal wie seinerzeit Sundance Kid durchs www fegt, so heißt sie doch: Shadowdance ;) *g*

Passat2002 20.11.2004 00:11
hi
mit dem ie erreichst du manche seiten nicht, mit dem netscape schon?

Tom59 20.11.2004 02:00
@patrick 1969...

...ich hatte dieses Problemchen auch, obwohl mein logfile sauber war, aber ich konnte ebenfalls wie du bestimmte Seiten nicht öffnen, der Browser maulte wegen Verschlüsselungswerten (128-bit)

in deinem Log fehlt meines Erachtens eine Optimierung für dein DSL, wie @Cidre dir schon vorschlug, solltest du dir einfach mal z. B dieses Programm...

http://www.zdnet.de/downloads/prg/b/p/de0DBP-wc.html

downloden und dein DSL nach den vorgebenen Werten optimieren...

mir hat es sehr geholfen!!

lg


T@m

Patrick1969 20.11.2004 12:59
Hallo Leute

Tatsächlich, mit DFÜ-Speed hats geklappt. Ich komme wieder auf alle Seiten, wunderbar, meine Nerven beruhigen sich wieder.

Ich möchte euch allen vielmals für eure Tipps und Hilfe danken. Saugut, dass es eine solche Seite und solche Leute wie ihr es seid gibt.

Ich wünsche euch allen ein schönes Wochenende.

Gruss, Patrick

PS: Sorry Shadowdance, in der Hitze des Gefechts hab ich Deinen Namen falsch geschrieben, war keine Absicht.

Shadowdance 20.11.2004 14:57
Hallo Patrick1969,

och, Sundance gefällt mir auch ganz gut ... vielleicht nenne ich mich eines Tages um ... :lach:

Viel Erfolg weiterhin und denk mal über einen Browserwechsel nach:

- Vorbeugende Maßnahmen
- IE sicher konfigurieren und Browser-Sicherheit

SD


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131