Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   startseite utruuh.globe-finder.cc lässt sich nicht entfernen! (https://www.trojaner-board.de/13603-startseite-utruuh-globe-finder-cc-laesst-entfernen.html)

imperator 10.02.2005 19:15
startseite utruuh.globe-finder.cc lässt sich nicht entfernen!
 
hallo!

hab meinen pc neu aufgesetzt als ich die windows updates machen wollte, hatte ich schon anscheinend einen wurm oder was weis ich eingefangen.

habe nämlich seitdem eine neue startseite die ich nicht wegbekomme.
habe ständig http://utruuh.globe-finder.cc/bayzm/ als startseite drin.

hier mein logfile:

Zitat:
Logfile of HijackThis v1.99.0
Scan saved at 19:41:50, on 09.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\MICROS~2\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Sicherheitstools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm (obfuscated)
O1 - Hosts: 3510794929 auto.search.msn.com
O4 - Global Startup: 3D!Turbo Experience.lnk = C:\Programme\MSI\3D!Turbo Experience\3D!Turbo.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: AntiVir Mail Security Service - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVMAILC.EXE
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE
O23 - Service: AVE Service - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVESVC.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
hab schon folgende punkte versucht zu fixen, aber geht nicht kommt immer und immer wieder.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm (obfuscated)
O1 - Hosts: 3510794929 auto.search.msn.com

habe s&d, adaware, CWShredder, stinger verwendet aber konnte das prob nicht lösen.

bitte um hilfe, will meine schüssel nicht nochmal neu aufsetzten.

viele dank
imp

chaosman 10.02.2005 19:21
@imperator
update dein system und IE
lade escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

chaosman

imperator 13.02.2005 19:43
uff!

das hat ja gedauert!

sorry aber jetzt hab ich das logfile (war am weekend nicht zuhause)!

PHP-Code:
 09 01:50:54 2005 => File C:\Programme\AVWin\INFECTED\DHXWK.DLL.VIR infected by "Trojan-Downloader.Win32.WinShow.ak" VirusAction TakenNo Action Taken.
Wed Feb 09 01:50:54 2005 => File C:\Programme\AVWin\INFECTED\UGWRD.DLL.VIR infected by "Trojan-Downloader.Win32.WinShow.ak" VirusAction TakenNo Action Taken.
Wed Feb 09 01:46:15 2005 => Scanning FolderC:\Programme\AVWin\INFECTED\*.*
Wed Feb 09 01:46:15 2005 => Scanning File C:\Programme\AVWin\INFECTED\DHXWK.DLL.VIR
Wed Feb 09 01:50:54 2005 => File C:\Programme\AVWin\INFECTED\DHXWK.DLL.VIR infected by "Trojan-Downloader.Win32.WinShow.ak" VirusAction TakenNo Action Taken.

Wed Feb 09 01:50:54 2005 => Scanning File C:\Programme\AVWin\INFECTED\T-9972[1].HTM.VIR
Wed Feb 09 01:50:54 2005 => Scanning File C:\Programme\AVWin\INFECTED\UGWRD.DLL.VIR
Wed Feb 09 01:50:54 2005 => File C:\Programme\AVWin\INFECTED\UGWRD.DLL.VIR infected by "Trojan-Downloader.Win32.WinShow.ak" VirusAction TakenNo Action Taken.
Wed Feb 09 02:42:38 2005 => File C:\RECYCLER\NPROTECT\00010007.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Wed Feb 09 02:51:22 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0032148.exe infected by "Trojan-Downloader.Win32.Agent.eq" VirusAction TakenNo Action Taken.
Wed Feb 09 04:46:06 2005 => File C:\RECYCLER\NPROTECT\00010007.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Wed Feb 09 04:54:47 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0032148.exe infected by "Trojan-Downloader.Win32.Agent.eq" VirusAction TakenNo Action Taken.
Fri Feb 11 16:43:42 2005 => File C:\RECYCLER\NPROTECT\00010007.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Fri Feb 11 16:53:49 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0032148.exe infected by "Trojan-Downloader.Win32.Agent.eq" VirusAction TakenNo Action Taken.
Fri Feb 11 16:55:11 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0033213.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Fri Feb 11 16:56:41 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP126\A0035339.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Fri Feb 11 18:56:19 2005 => File C:\RECYCLER\NPROTECT\00010007.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Fri Feb 11 19:05:28 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0032148.exe infected by "Trojan-Downloader.Win32.Agent.eq" VirusAction TakenNo Action Taken.
Fri Feb 11 19:06:50 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP124\A0033213.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken.
Fri Feb 11 19:08:18 2005 => File C:\System Volume Information\_restore{7EF74527-79F9-4D73-A6D4-94F910150E10}\RP126\A0035339.DLL infected by "not-a-virus:AdWare.Gator.1019" VirusAction TakenNo Action Taken


was ist der nächste schritt?

chaosman 15.02.2005 20:02
@imperator
http://www.sophos.de/virusinfo/analy...jcrabtona.html
Win32.Agent.eq

systemwiederherstellung deaktivieren, in den abgesicherten modus wechslen,
manuell löschen
C:ProgrammeAVWinINFECTEDDHXWK.DLL.VIR
C:ProgrammeAVWinINFECTEDUGWRD.DLL.VIR
C:ProgrammeAVWinINFECTEDDHXWK.DLL.VIR
C:ProgrammeAVWinINFECTEDUGWRD.DLL.VIR
C:RECYCLERNPROTECT00010007.DLL

danach neu booten,systemwiederherstellung aktivieren
mit clearprog
http://www.clearprog.de/
deine Temps und TIFs löschen
system updaten

chaosman

imperator 17.02.2005 18:35
danke für die info!

hab alles gemacht wie du gesagt hast, aber die startseite ist noch immer da :balla:

hab es jetzt trozdem hinbekommen das wieder alles funzt und zwar so:

wie schon beschreiben die datein löschen.

dann hab ich hijackthis und cwshredder_2.1 drüberlaufen lassen.

hab dann die R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?bayzm (obfuscated) datein "isoliert"

und danach meinen internetexplorer deinstalliert und neu installiert.

jetzt gehts wieder :)

danke nochmal für die hilfe


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131