Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   win-eto Verlinkung im IE Explorer lässt sich nicht löschen (https://www.trojaner-board.de/9987-win-eto-verlinkung-ie-explorer-laesst-loeschen.html)

Wimmerstedt 23.11.2004 16:38
win-eto Verlinkung im IE Explorer lässt sich nicht löschen
 
Sehr geehrtes Forum,

Ich komme nicht weiter und hoffe, Sie können mir helfen. Ich habe Norton-Internet Security 6.0.4.35 und Norton Anti-Virus Version 9.12.03b installiert und auch diverse Viren-Meldungen erhalten. Das Schutzprogramm habe ich durchlaufen lassen und einige Viren entfernen lassen. Allerdings lässt sich wenn ich den Internet Explorer starte,die Startseite win-eto.com/hp.htm?id=31403 und diese wechselt sofort auf http://t.swapx.cc/h.php?aid=31403

Ich habe Spybot 1.3 prüfen lassen und die Fehler beheben lassen, aber ohne Erfolg. Inzwischen habe ich hier in Ihrem Forum etwas gelesen und mir "hijackthis" heruntergeladen und ein Log-File damit erstellt welches ich Ihnen hiermit anhänge:


Logfile of HijackThis v1.97.7
Scan saved at 16:18:58, on 23.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Palm\hotsync.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\powerpanel\Program\PcfMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Messenger\msmsgs.exe
C:\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\PXGY6C~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - C:\DOKUME~1\WILLYW~1\LOKALE~1\TEMPOR~1\Content.IE5\SLAJK1M3\OTVTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\yfs38dp80yvthd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\hotsync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: concept/design's onlineTV (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeup...ntent/opuc.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...033.2731712963
O16 - DPF: {A8658086-E6AC-4957-BC8E-7D54A7E8A78E} (SassCln Object) - http://www.microsoft.com/security/co...20/SassCln.CAB
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

Ich weiss wirklich nicht weiter und hoffe auf Ihre Hilfe wie ich diese lästige Startseite löschen kann und wie ich künftig auf ähnliche Vorfälle mich vorbereiten kann.

Vielen Dank im voraus für rasche Hilfe.


Mfg
Willy G.H. Wimmerstedt

Yopie 23.11.2004 17:25
Hallo Willy,

wir sind hier nicht so förmlich und duzen uns alle. Siezen wird sogar teilweise im Netz als Beleidigung aufgefasst. ;)

Zum Problem:
Leider hast Du nicht mit der aktuellen Version von Hijackthis gescannt, aber wir versuchen das auch mal mit der alten Version:

"Fixe" (=Eintrag anhaken und auf "Fix checked" klicken") folgende Einträge in Hijackthis:
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\PXGY6C~1.DLL
[..]
O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - C:\DOKUME~1\WILLYW~1\LOKALE~1\TEMPOR~1\Content.IE5\SLAJK1M3\OTVTOO~1.DLL (file missing)
[..]
O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\System32\SysUpd.exe
[...]
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\yfs38dp80yvthd.exe
[...]
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en
[...]
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
[...]
O16 - DPF: {EF86873F-04C2-4A95-A373-5703C08EFC7B} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab

Anschließend scan mal die Dateien "C:\WINDOWS\system32\shellexp.exe","C:\WINDOWS\system32\yfs38dp80yvthd.exe" und "C:\WINDOWS\System32\SysUpd.exe" unter http://virusscan.jotti.org/de und teile uns das Ergebnis mit.

Gruß :daumenhoc
Yopie

Wimmerstedt 24.11.2004 09:13
Hallo Yokie,

Da ich relativ neu im Internet bin, bedauere ich die förmliche Anrede. Es sollte keinesfalls als Beleidigung aufgefasst werden.

Vielen Dank für die schnelle Antwort. Habe sofort gescannt und gefixt wie von Dir vorgeschlagen und anschliessend die Dateien unter dem Link, den Du angegeben hast, gescannt. Die Datei: C:\WINDOWS\system32\shellexp.exe war nach dem fixen mit Hijackthis nicht mehr auf meiner Festplatte zu finden,
deshalb konnte ich sie auch nicht scannen. Die Ergebnisse des Scans der anderen Dateien siehst Du unten.

Service load: 0% 100%

File: yfs38dp80yvthd.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir DR/Regger.J.2 (0.14 seconds taken)
Avast Win32:Kreper-I (1.51 seconds taken)
BitDefender No viruses found (1.02 seconds taken)
ClamAV Trojan.Krepper-4 (0.33 seconds taken)
Dr.Web Trojan.Cassandra (1.23 seconds taken)
F-Prot Antivirus No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.Krepper.ae (0.60 seconds taken)
mks_vir Trojan.Krepper.Ae (0.19 seconds taken)
NOD32 No viruses found (1.21 seconds taken)
Norman Virus Control No viruses found (2.28 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.Qhost.e in compiled.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.41 seconds
Avast X 1.65 seconds
BitDefender X 1.17 seconds
ClamAV X 0.40 seconds
Dr.Web X 0.85 seconds
F-Prot Antivirus X 0.05 seconds
Kaspersky Anti-Virus Trojan.Win32.Qhost.e 0.70 seconds
mks_vir X 0.28 seconds
NOD32 X 0.76 seconds
Norman Virus Control X 0.99 seconds



Service load: 0% 100%

File: SysUpd.exe
Status: INFECTED/MALWARE (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: UPX

AntiVir TR/SysUpd (0.15 seconds taken)
Avast Win32:Trojan-gen. (2.17 seconds taken)
BitDefender Trojan.Tscash.B (3.16 seconds taken)
ClamAV No viruses found (2.20 seconds taken)
Dr.Web No viruses found (2.76 seconds taken)
F-Prot Antivirus W32/Tsc.A@dl (0.05 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.TSCash (0.73 seconds taken)
mks_vir No viruses found (0.28 seconds taken)
NOD32 No viruses found (0.39 seconds taken)
Norman Virus Control W32/TsCash.A (0.11 seconds taken)

Statistics
Last piece of malware found was Trojan.Win32.Qhost.e in compiled.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.41 seconds
Avast X 1.65 seconds
BitDefender X 1.17 seconds
ClamAV X 0.40 seconds
Dr.Web X 0.85 seconds
F-Prot Antivirus X 0.05 seconds
Kaspersky Anti-Virus Trojan.Win32.Qhost.e 0.70 seconds
mks_vir X 0.28 seconds
NOD32 X 0.76 seconds
Norman Virus Control X 0.99 seconds

Offensichtlich ist mein PC ja wohl mit wenigstens einem Virus infiziert. Hoffentlich hast Du weitere Tips, wie ich vorzugehen habe. Vielen Dank im voraus.

Gruss Willy

Yopie 24.11.2004 13:07
Hallo Willy,
Zitat:
Zitat von Wimmerstedt
Hallo Yokie,
Da ich relativ neu im Internet bin, bedauere ich die förmliche Anrede. Es sollte keinesfalls als Beleidigung aufgefasst werden.
Keine Sorge, das hab ich auch nicht so aufgefasst. Und wenn Du das nächste Mal meinen Nickname noch richtig schreibst, wird alles gut. ;)
Spaß beiseite, Du hast eigentlich fast alles richtig gemacht hier im Forum: guter Betreff, verständliche und umfangreiche Problembeschreibung, Eigeninitiative. Da können sich einige, die sicher schon länger im Internet sind, eine Scheibe von abschneiden.
Wie man es nicht machen sollte, kannst Du bei Gelegenheit mal unter http://www.leckse.net/profilieren/ nachlesen. ;)

Jetzt aber zum eigentlichen Problem:
Zitat:
Zitat von Wimmerstedt
C:\WINDOWS\system32\shellexp.exe war nach dem fixen mit Hijackthis nicht mehr auf meiner Festplatte zu finden,
deshalb konnte ich sie auch nicht scannen.
Lässt Du Dir auch die versteckten Dateien anzeigen? Im Windows-Explorer: 'Extras'-'Ordneroptionen'-'Ansicht'-'Versteckte Dateien und Ordner'-'Alle Dateien und Ordner anzeigen' auswählen und mit 'OK' bestätigen. Kannst Du die Datei jetzt online checken? Ergebnis?

Zitat:
Zitat von Wimmerstedt
File: yfs38dp80yvthd.exe
Kaspersky Anti-Virus Trojan.Win32.Krepper.ae (0.60 seconds taken)

File: SysUpd.exe
Kaspersky Anti-Virus not-a-virus:AdWare.TSCash (0.73 seconds taken)
Diese beiden Dateien kannst Du schonmal löschen.

Zitat:
Offensichtlich ist mein PC ja wohl mit wenigstens einem Virus infiziert. Hoffentlich hast Du weitere Tips, wie ich vorzugehen habe. Vielen Dank im voraus.
Scan Deinen PC auch mal mit eScan. Gehe dabei genau nach der Anleitung vor:
http://www.trojaner-board.de/42731-escan-anleitung.html
Falls weitere Malware gefunden wird, poste bitte den Namen und den Pfad: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und hier posten -> Weitersuchen bis zum Ende des Logs.

Gruß :daumenhoc
Yopie

Wimmerstedt 25.11.2004 10:59
Hallo Yopie - gut, nä? ;-)),

besten Dank für die Hinweise!

Zur Datei C:\WINDOWS\system32\shellexp.exe, die konnte ich auch nicht finden, als ich mir die versteckten Dateien anzeigen liess!

Die beiden anderen Dateien habe ich gelöscht.

Habe sodann den PC anleitungsgemäß mit eScan gescannt. Folgendes (erschreckendes) Log kann ich bieten:

1. Wed Nov 24 16:17:04 2004 => File C:\WINDOWS\system32\srir903g56tyt5.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

2. Wed Nov 24 16:17:06 2004 => File C:\WINDOWS\system32\w8c6s4xcm66.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

3. Wed Nov 24 16:17:10 2004 => File C:\WINDOWS\system32\y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

4. Wed Nov 24 16:16:46 2004 => File C:\WINDOWS\system32\8es3nvb8wdw38ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

5. Wed Nov 24 16:17:10 2004 => File C:\WINDOWS\system32\W8C6S4~1.DLL infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

6. Wed Nov 24 16:17:27 2004 => File C:\WINDOWS\Games-Archiv.com[games-archiv-com,de,1].exe tagged as not-a-virus:PornWare.Dialer.Star. No Action Taken.

7. Wed Nov 24 16:17:29 2004 => File C:\WINDOWS\ml-cleanup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

8. Wed Nov 24 16:17:33 2004 => File C:\WINDOWS\sexnet_ltr_030512[1].exe tagged as not-a-virus:PornWare.Dialer.Cyberbill. No Action Taken.

9. Wed Nov 24 16:17:34 2004 => File C:\WINDOWS\stop.31403_4.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.

10. Wed Nov 24 16:17:38 2004 => File C:\WINDOWS\system32\2brf6ngvii6pgzdll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

11. Wed Nov 24 16:17:38 2004 => File C:\WINDOWS\system32\32n6rlhdjzsr8zdll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

12. Wed Nov 24 16:17:38 2004 => File C:\WINDOWS\system32\4gzpfflmb6vy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

13. Wed Nov 24 16:17:38 2004 => File C:\WINDOWS\system32\8c5l3mhxlsd38ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

14. Wed Nov 24 16:17:38 2004 => File C:\WINDOWS\system32\8es3nvb8wdw38ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

15. Wed Nov 24 16:18:06 2004 => File C:\WINDOWS\system32\fffyjjx9i5z78ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

16. Wed Nov 24 16:18:09 2004 => File C:\WINDOWS\system32\getupd.exe infected by "TrojanDownloader.Win32.Tinytest" Virus. Action Taken: No Action Taken.

17. Wed Nov 24 16:18:19 2004 => File C:\WINDOWS\system32\isnxhlf18lrg8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

18. Wed Nov 24 16:18:24 2004 => File C:\WINDOWS\system32\klshf6p7cks78ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

19. Wed Nov 24 16:19:09 2004 => File C:\WINDOWS\system32\sd95rewnp84t7odll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

20. Wed Nov 24 16:19:16 2004 => File C:\WINDOWS\system32\srir903g56tyt5.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

21. Wed Nov 24 16:19:24 2004 => File C:\WINDOWS\system32\v65gh6nf6slmiydll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

22. Wed Nov 24 16:19:26 2004 => File C:\WINDOWS\system32\w8c6s4xcm66.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

23. Wed Nov 24 16:19:36 2004 => File C:\WINDOWS\system32\y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

24. Wed Nov 24 16:19:36 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\10959968.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

25. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\11267375.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

26. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\11383968.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

27. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\12184734.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

28. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\12638875.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

29. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\15021703.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

30. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\15751750.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

31. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\19439093.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

32. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\26755187.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

33. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\27718875.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

34. Wed Nov 24 16:19:37 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\28309359.tmp infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

35. Wed Nov 24 16:19:43 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\iinstall.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

36. Wed Nov 24 16:19:44 2004 => File C:\DOKUME~1\WILLYW~1\LOKALE~1\Temp\ist_install.exe infected by "TrojanDownloader.Win32.IstBar.eh" Virus. Action Taken: No Action Taken.

Ich bin also total infiziert und mein Norton hat nichts davon mitbekommen. Wie beruhigend! Lassen sich denn die Viren nun noch entfernen? Und die Verlinkung im IE ist immer noch da, auch wenn ich inzwischen mit Mozilla Firefox hier im Board bin!

Nochmals vielen Dank für Deine Mühe!

Gruß,
Willy

chaosman 25.11.2004 13:29
@Wimmerstedt
fangen wir mal an:
lade dir clearprog bei clearprog.de, programm starten, alle häkchen setzen bei windows und IE, danach löschen.
auf diskettespeichern zwecks beweismittel
C:\WINDOWS\Games-Archiv.com[games-archiv-com,de,1].exe
C:\WINDOWS\sexnet_ltr_030512[1].exe

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK

deaktiviere den systemwiederherstellung
http://www.bsi.bund.de/av/texte/wiederher_xp.htm
und wechsle in den abgesicherten modus
alle dateien, bis auf C:\WINDOWS\ml-cleanup.exe, so löschen wie unter beschrieben wird
ZitatCidre
Escan anweisungen löschen
"Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre). Systemwiederherstellung aktivieren, in den normalen Modus booten.

neues hjt logfile posten
chaosman

Wimmerstedt 25.11.2004 14:26
Hallo Chaosman,

bevor ich aktiv werde, noch eine Frage, nur damit ich es nicht schlimmer mache als es ohnehin schon ist:

Zitat:
Zitat von chaosman
@Wimmerstedt
fangen wir mal an:
lade dir clearprog bei clearprog.de, programm starten, alle häkchen setzen bei windows und IE, danach löschen.
auf diskettespeichern zwecks beweismittel
C:\WINDOWS\Games-Archiv.com[games-archiv-com,de,1].exe
C:\WINDOWS\sexnet_ltr_030512[1].exe
Was soll ich speichern, die beiden oben genannten Pfade? Diskettenlaufwerk habe ich nicht, müsste mir also die beiden Pfade auf CD brennen, aber ob das wirklich gemeint ist!?

Tausend Dank für die Infos!

Gruß,
Willy

Yopie 25.11.2004 14:32
Zitat:
Zitat von Wimmerstedt
Was soll ich speichern, die beiden oben genannten Pfade?
Bei diesen Dateien handelt es sich um Dialer. Falls Du an deinem PC anders als über DSL mit der Telekom verbunden bist (ISDN/Faxmodem), dann könnte es sein, dass sich diese Dialer eingewählt und erhebliche Kosten verursacht haben.

Willst Du gegen diese Kosten gerichtlich vorgehen, benötigst Du die Dialer als Beweismittel. Du brauchst sie nicht extern zu speichern, Du kannst sie auch in einem anderen Ordner sichern. Am besten benennst Du sie in diesem Fall um, z.B. in Games-Archiv.com[games-archiv-com,de,1].exe..dialer, damit Du die Dialer nicht aus Versehen ausführst.

Gruß :daumenhoc
Yopie

Passat2002 25.11.2004 14:37
hi
yopie war etwas schneller :aplaus: also editieren, aber das gehör noch hier herein
Zitat:
neues hjt logfile posten
chaosman
bitte aber nun die version 1.98.2 und wenn möglich aus dem verzeichnis
C:\programme\HijackThis\HijackThis.exe

Wimmerstedt 25.11.2004 15:12
Hallo,

habe alles so gemacht wie beschrieben, aber die Dateien lassen sich nicht löschen, jedenfalls nicht alle. Geht bei der ersten schon los. Da bekomme ich die Fehlermeldung "Datei kann nicht gelöscht werden, weil schreibgeschützt oder in Benutzung oder Datenträger voll". Hab geguckt, ist natürlich nicht schreibgeschützt. Vermutlich ist sie wohl in Benutzung, damit sie nicht gelöscht werden kann. Habe deshalb mal die "Eingabeaufforderung" unter Zubehör gestartet und versucht die Datei so direkt über den Pfad ("dir dateixyz.*" und dann mit "del dateixy.dll") zu löschen, hat aber auch nicht funktioniert.

Gibt's noch einen anderen Weg, wie ich die Dateien löschen kann?

Vielen Dank und lieben Gruß,
Willy

Passat2002 25.11.2004 15:46
hi

schließe alle windows-anwendungen, dann sollten sich einige dateien schon löschen lassen, den rest, der nicht geht, hier posten

Wimmerstedt 25.11.2004 16:53
Hallo,

habe im abgesicherten Modus geguckt, waren aber keine Anwendungen aktiv, so weit ich das erkennen konnte (STRG+Alt+Entf und es waren keine Anwendungen zu sehen). Habe versucht zu löschen, die meisten wurden nicht gefunden und einige liessen sich löschen, die nicht zu löschen waren nenne ich nachstehend:

1. Wed Nov 24 16:17:04 2004 => File C:\WINDOWS\system32\srir903g56tyt5.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

2. Wed Nov 24 16:17:06 2004 => File C:\WINDOWS\system32\w8c6s4xcm66.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

3. Wed Nov 24 16:17:10 2004 => File C:\WINDOWS\system32\y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

4. Wed Nov 24 16:17:29 2004 => File C:\WINDOWS\ml-cleanup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

5. Wed Nov 24 16:17:34 2004 => File C:\WINDOWS\stop.31403_4.exe infected by "TrojanClicker.Win32.Small.bg" Virus. Action Taken: No Action Taken.

Dies vorgenannte Datei konnte ich löschen, aber es war noch ein Verzeichnis Prefetch oder ähnlich vorhanden, welches ich nicht gelöscht habe!?

6. Wed Nov 24 16:19:16 2004 => File C:\WINDOWS\system32\srir903g56tyt5.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

7. Wed Nov 24 16:19:26 2004 => File C:\WINDOWS\system32\w8c6s4xcm66.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

8. Wed Nov 24 16:19:36 2004 => File C:\WINDOWS\system32\y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll infected by "Trojan.Win32.Krepper.ae" Virus. Action Taken: No Action Taken.

Scheint ein recht hartnäckiges Problem zu sein. Ich kann nur hoffen, daß es eine Lösung dafür gibt und jemand hier helfen kann. In jedem Fall schon einmal ein Riesenlob für die Mühe, die Ihr Euch mit so unwissenden (unbedarften) Internetusern wie mir macht.

Gruß,
Willy

Passat2002 25.11.2004 17:57
bitte ein aktuelles HijackThis.logfile mit version 1.98.2 hier posten

Wimmerstedt 26.11.2004 09:03
Hallo,

Ich habe gestern leider vergessen, ein aktuelles "hijackthis" logfiile hier einzufügen, was ich hiermit tue.

Logfile of HijackThis v1.98.2
Scan saved at 08:59:45, on 26.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\sony\vaio media music server\SSSvr.exe
C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe
C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Palm\hotsync.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\powerpanel\Program\PcfMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe
C:\Programme\OpenOffice.org1.1.0\program\soffice.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Temp\hijack\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31403
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Programme\SigmaTel\C-Major Audio\stacmon.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [XTNDConnect PC - ErPhn2] C:\PROGRA~1\GEMEIN~1\XCPCSync\TRANSL~1\ErPhn2\ErTray.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - Startup: OpenOffice.org 1.1.0.lnk = C:\Programme\OpenOffice.org1.1.0\program\quickstart.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\Palm\hotsync.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PowerPanel.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: concept/design's onlineTV - {DBFBBBBD-7254-4C08-BF78-A0E57137009A} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)
O20 - AppInit_DLLs: y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll. dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

Hoffentlich hat die Löschaktion wenigstens etwas Erfolg gebracht. ABER WAS NUN ?

Gruss Willy

Wimmerstedt 02.12.2004 16:21
Hallo liebes Forum,

Es wäre schön, wenn sich jemand mein am 23.11. eingestelltes logfile nochmal anschaut und mir tips geben kann, wie ich meine probleme lösen kann.

Vielen Dank

Gruss
willy

steveman 02.12.2004 16:27
Hi,

fixe das:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=31403

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=31403

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/sp.htm?id=31403

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=31403

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL

O20 - AppInit_DLLs: y3z9ndnmkfvy8ldll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dl l.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

*Christian* 02.12.2004 20:58
Auch dies:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=31403
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O18 - Filter: text/html - (no CLSID) - (no file)
O18 - Filter: text/plain - (no CLSID) - (no file)

Die C:\WINDOWS\system32\W8C6S4~1.DLL im abg. Modus löschen!

Wimmerstedt 03.12.2004 10:26
Hallo Christian, Hallo Steveman,

Vielen Dank für Eure Tips. Leider konnte ich folgende Einträge nicht fixen:

02 - BHO:(no name) - ........ C:\WINDOWS\system32\W8C6S4~1.DLL

020 - AppInit_DLLs:y3z9ndnmkfvy8ldlll.dll........


Auch im abgesicherten Modus liessen sich diese Einträge weder mit Hijackthis noch über den Windows Explorer löschen. Wie werde ich diese verfluchten Dateien bloss los. Hoffentlich habt Ihr noch Ratschläge.


Gruss
Willy

*Christian* 03.12.2004 11:22
Warum konntest du nicht Fixen bzw. Löschen?
Bitte genaue Beschreibung.

Wimmerstedt 06.12.2004 08:46
Hallo Christian,

Vielen Dank für Deine Nachricht.

Ich konnte nicht fixen, weil der Dateizugriff gesperrt war. Die Datei soll im Gebrauch gewesen sein, oder ist schreibgeschützt. Ich habe nachgesehen, ein Schreibschutz besteht nicht. Deshalb liessen sich also weder im abgesicherten Modus, noch im Normalbetrieb die beiden Dateien löschen.

Gruss Willy

Passat2002 06.12.2004 09:14
hi

wenn sich dateien auch im abgesicherten modus nicht löschen lassen, sollte
HJT-> config -> misc tool -> delete a file on rebbot gewählt werden.
ein file nach dem anderen aufnehmen und nach dem letzten -> neustart durchführen.

pfiffikuss341 06.12.2004 14:54
win-eto erfolgreich gelöscht. :lach:

Auch ich hatte diesen win-eto link im ie explorer.
Nachdem alle Spysoftware nichts geholfen hat, habe ich folgendes getan:
Win 98 se
Start-ausführen: regedit
bearbeiten-suchen-win-eto
alle gefundenen Eintragungen gelöscht
Win98 neu gestartet
win-eto war verschwunden

ich hoffe das es auch so bleibt

Wimmerstedt 07.12.2004 08:43
Liebe Trojaner,

Endlich bin ich den Link "Win-Eto" losgeworden und zwar habe ich im Thread von Bertn vom 20.11. nachgelesen und den Tip von Chaosman befolgt, und habe mir das Programm "Amok Delaydel" heruntergeladen. Mit diesem Programm liessen sich dann die beiden restlichen Dateien löschen und nach einem neuerlichen Scan mit HijackThis und anschliessendem fixen war der PC wieder sauber.

Euch allen herzlichen Dank für Eure Hilfe und eine gute Weihnachtszeit.


Gruss Willy

mordread 10.12.2004 22:48
hallo, auch ich bin ein opfer von win-eto geworden (echt zum :pukeface: ). ich fänds wirklich toll wenn mir jemand helfen könnte

Logfile of HijackThis v1.98.2
Scan saved at 22:42:04, on 10.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
E:\ICQLite\ICQLite.exe
C:\WINDOWS\System32\??chost.exe
E:\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\E1L1Y8~1.DLL
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Spyware Doctor] "E:\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - E:\iview\Ebay\Ebay.htm
O20 - AppInit_DLLs: x69yjo7gp8f4oull.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.d ll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll

*Christian* 11.12.2004 00:03
Fixe dies:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=31403
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\System32\E1L1Y8~1.DLL
O20 - AppInit_DLLs: x69yjo7gp8f4oull.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.d ll.dll.dll.dll.dll.dll.dll.

Beende den Prozess C:\WINDOWS\System32\E1L1Y8~1.DLL und lösche anschl. die Datei im abg. Modus.

Update dein System und IE: www.windowsupdate.com

Schütze dich mit einem sicheren Browser: www.firefox-browser.de ist kostenlos.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131