Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   IE Startseite wird verändert (https://www.trojaner-board.de/2305-ie-startseite-veraendert.html)

Robert44 03.05.2004 21:54

Hallo zusammen,
wer kann mir helfen?
Mein Laptop leidet offensichtlich unter Spyware.
Die Startseite wird beim Ausloggen immer auf about:blank gesetzt. Beim nächsten Einloggen öffnet sich dann die homepage einer Suchmaschine.
Habe nun schon nächtelang Forums durchstöbert. Die meisten sind in englisch, dem bin ich nicht sonderlich mächtig.
Hoffe daher, hier Hilfe zu bekommen.
Habe über HijackThis schon mal ein log-file erstellt.

Logfile of HijackThis v1.97.7
Scan saved at 03:13:14, on 04.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe
C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Program Files\Ultralingua\Ultralingua 4\ultralingua.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Danke schon mal im Voraus.
Robert

Lutz 04.05.2004 09:11

Hallo Robert und Willkommen im Board,

versuche es bitte als erstes nach dieser Anleitung:
http://www.trojaner-info.de/anleitun...llow_page.html

Wenn Du mit dem dort genannten Tool Killbox das Problem nicht lösen kannst, wird es (noch) aufwendiger. Bitte melde Dich dann noch einmal.

Gruß,
Lutz

Robert44 04.05.2004 21:50

Hallo Lutz,
danke für den Willkommensgruß und das du deine Zeit für mich opferst.
Habe die Schritte der von dir empfohlenen Anleitung ausgeführt.
PV hat jedoch den Wert 61c00000 61440 nicht gefunden.
Habe die Folgeschritte nicht durchführen können, da ja die zugehörige Datei scheinbar nicht vorhanden ist.
Was kann ich als nächstes tun?

Gruß aus Shanghai
Robert

Lutz 05.05.2004 08:11

Hallo Robert,

das habe ich leider befürchtet, denn jetzt wird es noch ein Stück weit komplizierter...

Versuch 1:
Lade Dir das Free eScan Antivirus Toolkit Utility herunter.

***
Hinweis für mitlesende XP-User: Deaktiviert die Systemwiederherstellung!!
Hinweise hierzu: http://www.tu-berlin.de/www/software/virus/sysres.shtml
***


Starte Deinen Rechner im abgesicherten Modus.
Hinweise hierzu: http://www.trojaner-board.de/63335-w...s-starten.html

Fixe mit HijackThis die folgenden Einträge:
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
</font>[/QUOTE]Starte anschließend das o. g. Tool. Wähle bei Scan Option (sofern nicht voreingestellt)
Memory
Startup Folders
Drive
All local Drive
Registry
System Folders
Services
und
Scan All Files
anschließend starte mit Scan Clean

Wenn Du 'Glück' hast, hat der Scanner zugeschlagen und die infizierten Dateien entfernen können...


Versuch 2:
Lade dir hier: http://www10.brinkster.com/expl0iter...ast/PVtool.htm
xfind.zip herunter entpacke es in ein extra Verzeichniss und starte die find.bat. Wenn die Dos-Box wieder geschlossen wurde, schaue dir die files.txt in dem selben Verzeichniss an, und schreibe dir den Dateinamen, der dort auftaucht, auf.

Anschließend versuche, die mit xfind (hoffentlich!!) gefundene dll mit der Killbox (siehe die verlinkte Anleitung in meiner ersten Antwort) zu löschen.
Wenn Killbox die Datei nicht löschen kann, musst du mit Hilfe der Wiederherstellungskonsole die Datei löschen bzw. umbenennen.
Hinweis zur Wiederherstellungskonsole:
http://www.windowspower.de/article366.html

Ich hoffe, Du hast noch ein paar DOS-Kenntnisse in bezug auf Datei löschen, bzw. Datei umbennennen und 'navigieren' unter DOS?!?

Evtl. Referenzen auf die Datei in der Registrierung must du nach einem Neustart ebenfalls löschen. Das kannst Du dann mit HiJackThis machen. Es wäre gut, wenn Du uns auf jeden Fall am Ende Deiner Aktionen ein aktuelles Log hier postest.

Gruß,
Lutz

ninjamicha 05.05.2004 12:46

hallo hatte das selbe problem glaube ich !wenn der link funzt schau mal wenn nicht suche doch meine beitrag ! ich hatte das problem in einer stunde gelöst ! die probleme waren auf jeden fall die gleichen !
http://www.trojaner-board.de/forum/u...c;f=6;t=005284

Lutz 05.05.2004 12:56

Hallo ninjamicha,

</font><blockquote>Zitat:</font><hr />...hatte das selbe problem glaube ich...</font>[/QUOTE]leider (oder zum Glück für Dich ;) ) handelte es sich bei Dir um einen vergleichsweise 'harmlosen' Hijacker...
Aber ich freue mich natürlich trotzdem, dass wir dir helfen konnten. [img]smile.gif[/img]

Gruß,
Lutz

zulu 05.05.2004 14:44

Hi Lutz,

wenn ich bei mir &lt;&lt; Free eScan Antivirus Toolkit Utility&gt;&gt; starte, bekommt das mein KAV nicht mit, hmm. Ich habe zwar keine Würmer etc., aber warum bemerkt er das net ??

&lt;&lt;Your Antivirus failes in this test!!&gt;&gt;

Mach ich da vielleicht einen Denkfehler ?

Cu

zulu 05.05.2004 21:07

Ist die Anfrage nicht deutlich genug ?


................... oder einfach nur zu leicht. ;)

Nangie 05.05.2004 21:21

@ zulu
mmmhh - wird wohl keiner eine Antwort wissen,genau wie ich - versuch es doch mal bei KAV Support .

zulu 05.05.2004 21:34

Ja, aber es haben doch noch andere hier den KAV und da könnte man Vergleiche anstellen.


Cu

Nangie 05.05.2004 21:39

Sicher - aber ich nicht - Sorry das ich dir nicht helfen kann

Nicht verzagen - weiter fragen :D

Lutz 06.05.2004 18:40

Hi Zulu,

so ganz verstehe ich Deine Frage nicht?
Warum sollte KAV da etwas merken?

zulu 06.05.2004 21:15

Hi Lutz,

wie gesagt, Denkfehler. Ich dachte eigentlich, das Tool dient zum Testen Der Antivirenproggis, hmm.

Es simuliert gewisse Würmer etc. und der KAV sollte anspringen.


Cu

Robert44 07.05.2004 11:11

Hi Lutz,
habe Versuch 1 durchgeführt.
Hat zwar ewig gedauert, dafür jedoch super funktioniert. Ich will den Tag nicht vor dem Abend loben, aber ich glaube, mein System ist wieder clean.
Anbei wie gewünscht den neusten Hijack Scan:
Logfile of HijackThis v1.97.7
Scan saved at 05:35:36, on 07.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINNT\system32\ICO.EXE
C:\WINNT\system32\Pelmiced.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Hab das ganze, wie die TU Berlin vorschlägt, 2 mal gescannt und auch schon über die Windows Update Funktion alle Patches installiert.

Folgendes noch:
eScan meldet, das da wohl noch verseuchte Dateien sind, hat aber "no action taken".
So was wie
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
Die letzte Datei befindet sich in einem Backup von HijackThis
Allen Zeilen voran gestellt ist: not a virus

Ist das System doch nicht sauber???

Robert

Lutz 07.05.2004 11:53

Hallo Robert,

das Log sieht im Moment sauber aus! [img]graemlins/daumenhoch.gif[/img]
Wollen wir hoffen, dass es so bleibt.

Diesen Eintrag solltest Du noch fixen, da er ohnehin verwaist ist:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - </font>[/QUOTE]Folgendes kannst du noch fixen. Ist zwar ungefährlich, kann aber unter Umständen dein Laptop ein wenig ausbremsen.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot </font>[/QUOTE]Gestolpert bin ich im ersten Moment über diesen Eintrag:
</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE </font>[/QUOTE]Aus dem Log lese ich, dass es sich um ein IBM ThinkPad handelt und lt. http://www.sysinfo.org/startuplist.p...E&count=&type= findet man die ICO.exe eher auf einem Sony-Laptop. Wenn Du ganz sicher gehen willst, kannst Du die Datei mal bei Kaspersky überprüfen.

</font><blockquote>Zitat:</font><hr /> Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe" </font>[/QUOTE]Aufgrund der Proxy-Einstellungen unter R0 vermute ich, dass es sich um einen Firmen-Laptop handelt. Wenn richtig, und es bei Euch üblich ist, dass Rechner/Laptops über VNC ferngewartet/ferngesteuert werden, ist der Eintrag imho OK.
BTW: Was sagt denn Eure IT dazu, wenn Du aus dem Internet Programme wie eScan herunterlädst und ausführst?!?

</font><blockquote>Zitat:</font><hr />
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
</font>[/QUOTE]Die beiden Dialer würde ich löschen.
Zu den anderen Dateien kann ich spontan nichts sagen. Diese sind mir unbekannt. Wo liegen die Dateien denn (genauer Pfad)?


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:43 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129