Trojaner-Board - Wer kann mir helfen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wer kann mir helfen? (https://www.trojaner-board.de/13645-mir-helfen.html)

Wer kann mir helfen?

Einige Zeit nachdem ich den IE gestartet habe funktioniert "rechte maustaste" - "In neuem Fenster öffnen" nicht mehr. Nach einem reboot gehts dann wieder. Habe mehrmals nach Viren gescant. Wird aber nichts gefunden. Sehe auch keine verdächtigen Prozesse. Hat vielleicht wer dazu eine Idee?

Welchen Scanner hast du verwendet?
Poste ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

http://www.cosgan.org/images/midi/konfus/c060.gif

OK, hier ist das Logfile

Logfile of HijackThis v1.99.0
Scan saved at 15:11:41, on 11.02.05
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\triserv.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolss.exe
C:\WINNT\System32\nddeagnt.exe
C:\PROGRA~1\EXECUT~1\DISKEE~1\DkService.exe
c:\winnt\system32\pstores.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SYSTEM32\SPSPWR.EXE
C:\WINNT\system32\tapisrv.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\WFXSVC.EXE
C:\WINNT\system32\rasman.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\loadwc.exe
C:\WINNT\System32\PWRSAVE.EXE
C:\WINNT\System32\THOTKEY.EXE
C:\WINNT\System32\TDOCK.EXE
C:\WINNT\System32\wfxsnt40.exe
C:\WINNT\loadqm.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\InocuLAN\REALMON.EXE
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
C:\WINNT\system32\ntvdm.exe
C:\HJ\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://thenewsearch.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://thenewsearch.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://thenewsearch.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {628E91F9-E566-11D8-B226-D8EABD5E9C3B} - C:\WINNT\System32\omna.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [Pwrsave] PWRSAVE.EXE
O4 - HKLM\..\Run: [Hotkey] THOTKEY.EXE
O4 - HKLM\..\Run: [Tdock] TDOCK.EXE
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [USSShReg] C:\PROGRA~1\ULEADS~1\ULEADP~1.2\SSaver\Ussshreg.exe /r
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [RunProgsSI] C:\WINNT\svchosts.exe
O4 - HKCU\..\Run: [RunProgsSI] C:\WINNT\svchosts.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.Lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: Inoculan Echtzeit-Monitor.lnk = C:\InocuLAN\REALMON.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O13 - WWW. Prefix: http://
O16 - DPF: {98CAB0F5-E67B-11D1-99B2-080009DC8BE5} (ELBA-internet) - https://banking.raiffeisen.at/signed...irbg_306_4.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pta.at
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pta.at
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = pta.at wien.pta.at
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 10.1.60.3 10.1.60.2
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = pta.at wien.pta.at
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 10.1.60.3 10.1.60.2
O18 - Filter: text/html - {628E91F8-E566-11D8-B226-D8EAD21239A0} - C:\WINNT\System32\omna.dll
O18 - Filter: text/plain - {628E91F8-E566-11D8-B226-D8EAD21239A0} - C:\WINNT\System32\omna.dll
O23 - Service: Cheyenne InocuLAN Anti-Virus Server - Unknown - C:\InocuLAN\INOJOBSV.EXE
O23 - Service: Cheyenne InocuLAN Exchange AV Server - Unknown - C:\InocuLAN\INEXCHSV.EXE
O23 - Service: Diskeeper - Executive Software International - C:\PROGRA~1\EXECUT~1\DISKEE~1\DkService.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: TOSHIBA APM Service - TOSHIBA Corporation - C:\WINNT\SYSTEM32\SPSPWR.EXE
O23 - Service: TridentService - Unknown - C:\WINNT\System32\triserv.exe
O23 - Service: WinFax PRO - Symantec Corporation - C:\WINNT\System32\WFXSVC.EXE

Das Log schaut gar nicht gut aus :(
Damit wir sichergehen können ob eine Reparatur überhaupt noch Sinn macht, scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.

Danke soweit mal Haui45. Ich werde das machen. Kann aber ein paar tage dauern bis ich dazu komme. Was darf ich mir den so unter "Das Log schaut gar nicht gut aus" vorstellen.

Übrigens bin ich draufgekommen wenn das mit dem IE passiert, dann geht copy & paste bzw. drag & drop auch nicht mehr. Auch in anderen Anwendungen.

Das Log schaut u.a. nicht gut aus, weil sich unter den Autostart-Einträgen ziemlich viel Malware befindet.
Ich würde dir dringend raten, den PC die nächsten Tage vom Netz zu trennen, sonst wird es immer mehr.

Ok, hat etwas gedauert aber hier ist das Ergebnis von eScan

File C:\WINNT\online.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\ADV.dll infected by "not-a-virus:AdWare.ToolBar.Tubby.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\d2kdth.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\d2kndr.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\evxn.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\hosting.exe infected by "Trojan-Clicker.Win32.Agent.cb" Virus. Action Taken: No Action Taken.
File C:\WINNT\System32\photo.exe infected by "Trojan-Clicker.Win32.Agent.cb" Virus. Action Taken: No Action Taken.
File C:\d512.exe infected by "Trojan.Win32.Delf.bf" Virus. Action Taken: No Action Taken.
File C:\d886.exe infected by "Trojan.Win32.Delf.bf" Virus. Action Taken: No Action Taken.
File C:\gd.exe infected by "Trojan-Dropper.Win32.Small.ja" Virus. Action Taken: No Action Taken.
File C:\TEMPrad97FDB.tmp.com infected by "Trojan.Win32.Alfora" Virus. Action Taken: No Action Taken.
File C:\WINNT\Downloaded Program Files\d_tony1.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINNT\online.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\ADV.dll infected by "not-a-virus:AdWare.ToolBar.Tubby.a" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\d2kdth.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\d2kndr.exe infected by "Trojan.Win32.Dialer.u" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\evxn.exe infected by "Backdoor.Win32.PoeBot.b" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\hosting.exe infected by "Trojan-Clicker.Win32.Agent.cb" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\photo.exe infected by "Trojan-Clicker.Win32.Agent.cb" Virus. Action Taken: No Action Taken.

Habe zu keiner dieser Dateien einen Eintrag in der Registriy gefunden.

Das File C:\WINNT\Downloaded Program Files\d_tony1.exe finde ich dort nicht, auch nicht im abgesicherten Modus.

Wie kanns jetzt weitergehen?

Dialer bitte je nach Verbindungsart auf Diskette speichern -> Dialer-Hinweis

System neu aufsetzen und anschließend absichern -> Anleitung

Grund: http://www.sophos.de/virusinfo/analyses/w32poebotb.html

Lutz über Datensicherung (auf ausführbare Dateien würde ich ganz verzichten) Textdokumente (Word, Excel, etc.) solltest du jedoch relativ gefahrlos sichern können.

mfg Haui

Zunächst mal vielen Dank Haui45. Neu aufsetzen ist ehrlich gesagt (noch) keine wirkliche Option für mich. Zuerst probiere ich mal das ganze Zeugs zu löschen und seh mal was dann passiert.

So wie ich das sehe muss diese evxn.exe ja irgendwie ausgeführt werden um die defragfat34.exe und den Registriyeintrag zu erzeugen. Die hab ich übrigens schon ein paarmal entfernt. Im Moment kommt sie auch nicht wieder.

Hast Du eine Ahnung wie die evxn.exe vom System gestartet wird?

Diese Registriyeinträge die auf "http://thenewsearch.com/search.html" zeigen, müsste ich doch einfach ändern können, oder?

Was mir nicht klar ist, ist wo und wie sich diese d_toni1.exe versteckt und was sie macht.

Vielleicht kannst Du mir dazu noch ein paar Tips geben. Wäre Dir sehr dankbar. Gut, dann Danke ich Dir recht herzlich für Deine bisherige Hilfe und werde Dich auf dem laufenden halten.

Andi

Zitat:

Neu aufsetzen ist ehrlich gesagt (noch) keine wirkliche Option für mich.

Es ist die einzige Option!

Zitat:

Zuerst probiere ich mal das ganze Zeugs zu löschen und seh mal was dann passiert.

Das hast du ganz richtig erkannt, du wirst es probieren.

Du solltest dir im Klaren darüber sein, dass sich "dein" PC, auch wenn du die Malware löschst, in fremder Hand befindet.
Du bist nicht nur eine Gefahr für dich, sondern auch für andere Internetnutzer, deren Systeme durch deine "Virenschleuder" infiziert werden.

Über die Entfernung von Schädlingen.

Klingt schlimm was Du da sagst. Naja mal sehen. Nur falls es Dich interessiert. Die Datei d_tony1.exe hab ich im abgesicherten Modus im angegebenen Verzeichnis (DOS-Name) gefunden und löschen können.

kannst du mir die Datei

File C:\gd.exe infected by "Trojan-Dropper.Win32.Small.ja" Virus. Action Taken: No Action Taken.

mal schicken?

sammy98 _at_ unimx.de