Hallo zusammen,
wer kann mir helfen?
Mein Laptop leidet offensichtlich unter Spyware.
Die Startseite wird beim Ausloggen immer auf about:blank gesetzt. Beim nächsten Einloggen öffnet sich dann die homepage einer Suchmaschine.
Habe nun schon nächtelang Forums durchstöbert. Die meisten sind in englisch, dem bin ich nicht sonderlich mächtig.
Hoffe daher, hier Hilfe zu bekommen.
Habe über HijackThis schon mal ein log-file erstellt.

Logfile of HijackThis v1.97.7
Scan saved at 03:13:14, on 04.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe
C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Program Files\Ultralingua\Ultralingua 4\ultralingua.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Danke schon mal im Voraus.
Robert

Hallo Robert und Willkommen im Board,

versuche es bitte als erstes nach dieser Anleitung:
http://www.trojaner-info.de/anleitun...llow_page.html

Wenn Du mit dem dort genannten Tool Killbox das Problem nicht lösen kannst, wird es (noch) aufwendiger. Bitte melde Dich dann noch einmal.

Gruß,
Lutz

Hallo Lutz,
danke für den Willkommensgruß und das du deine Zeit für mich opferst.
Habe die Schritte der von dir empfohlenen Anleitung ausgeführt.
PV hat jedoch den Wert 61c00000 61440 nicht gefunden.
Habe die Folgeschritte nicht durchführen können, da ja die zugehörige Datei scheinbar nicht vorhanden ist.
Was kann ich als nächstes tun?

Gruß aus Shanghai
Robert

Hallo Robert,

das habe ich leider befürchtet, denn jetzt wird es noch ein Stück weit komplizierter...

Versuch 1:
Lade Dir das Free eScan Antivirus Toolkit Utility herunter.

***
Hinweis für mitlesende XP-User: Deaktiviert die Systemwiederherstellung!!
Hinweise hierzu: http://www.tu-berlin.de/www/software/virus/sysres.shtml
***

Starte Deinen Rechner im abgesicherten Modus.
Hinweise hierzu: http://www.trojaner-board.de/63335-w...s-starten.html

Fixe mit HijackThis die folgenden Einträge:
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
</font>[/QUOTE]Starte anschließend das o. g. Tool. Wähle bei Scan Option (sofern nicht voreingestellt)
Memory
Startup Folders
Drive
All local Drive
Registry
System Folders
Services
und
Scan All Files
anschließend starte mit Scan Clean

Wenn Du 'Glück' hast, hat der Scanner zugeschlagen und die infizierten Dateien entfernen können...


Versuch 2:
Lade dir hier: http://www10.brinkster.com/expl0iter...ast/PVtool.htm
xfind.zip herunter entpacke es in ein extra Verzeichniss und starte die find.bat. Wenn die Dos-Box wieder geschlossen wurde, schaue dir die files.txt in dem selben Verzeichniss an, und schreibe dir den Dateinamen, der dort auftaucht, auf.

Anschließend versuche, die mit xfind (hoffentlich!!) gefundene dll mit der Killbox (siehe die verlinkte Anleitung in meiner ersten Antwort) zu löschen.
Wenn Killbox die Datei nicht löschen kann, musst du mit Hilfe der Wiederherstellungskonsole die Datei löschen bzw. umbenennen.
Hinweis zur Wiederherstellungskonsole:
http://www.windowspower.de/article366.html

Ich hoffe, Du hast noch ein paar DOS-Kenntnisse in bezug auf Datei löschen, bzw. Datei umbennennen und 'navigieren' unter DOS?!?

Evtl. Referenzen auf die Datei in der Registrierung must du nach einem Neustart ebenfalls löschen. Das kannst Du dann mit HiJackThis machen. Es wäre gut, wenn Du uns auf jeden Fall am Ende Deiner Aktionen ein aktuelles Log hier postest.

Gruß,
Lutz

hallo hatte das selbe problem glaube ich !wenn der link funzt schau mal wenn nicht suche doch meine beitrag ! ich hatte das problem in einer stunde gelöst ! die probleme waren auf jeden fall die gleichen !
http://www.trojaner-board.de/forum/u...c;f=6;t=005284

Hallo ninjamicha,

</font><blockquote>Zitat:</font><hr />...hatte das selbe problem glaube ich...</font>[/QUOTE]leider (oder zum Glück für Dich ;) ) handelte es sich bei Dir um einen vergleichsweise 'harmlosen' Hijacker...
Aber ich freue mich natürlich trotzdem, dass wir dir helfen konnten. [img]smile.gif[/img]

Gruß,
Lutz

Hi Lutz,

wenn ich bei mir &lt;&lt; Free eScan Antivirus Toolkit Utility&gt;&gt; starte, bekommt das mein KAV nicht mit, hmm. Ich habe zwar keine Würmer etc., aber warum bemerkt er das net ??

&lt;&lt;Your Antivirus failes in this test!!&gt;&gt;

Mach ich da vielleicht einen Denkfehler ?

Cu

Ist die Anfrage nicht deutlich genug ?


................... oder einfach nur zu leicht. ;)

@ zulu
mmmhh - wird wohl keiner eine Antwort wissen,genau wie ich - versuch es doch mal bei KAV Support .

Ja, aber es haben doch noch andere hier den KAV und da könnte man Vergleiche anstellen.


Cu

Sicher - aber ich nicht - Sorry das ich dir nicht helfen kann

Nicht verzagen - weiter fragen :D

Hi Zulu,

so ganz verstehe ich Deine Frage nicht?
Warum sollte KAV da etwas merken?

Hi Lutz,

wie gesagt, Denkfehler. Ich dachte eigentlich, das Tool dient zum Testen Der Antivirenproggis, hmm.

Es simuliert gewisse Würmer etc. und der KAV sollte anspringen.


Cu

Hi Lutz,
habe Versuch 1 durchgeführt.
Hat zwar ewig gedauert, dafür jedoch super funktioniert. Ich will den Tag nicht vor dem Abend loben, aber ich glaube, mein System ist wieder clean.
Anbei wie gewünscht den neusten Hijack Scan:
Logfile of HijackThis v1.97.7
Scan saved at 05:35:36, on 07.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINNT\system32\ICO.EXE
C:\WINNT\system32\Pelmiced.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Hab das ganze, wie die TU Berlin vorschlägt, 2 mal gescannt und auch schon über die Windows Update Funktion alle Patches installiert.

Folgendes noch:
eScan meldet, das da wohl noch verseuchte Dateien sind, hat aber "no action taken".
So was wie
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
Die letzte Datei befindet sich in einem Backup von HijackThis
Allen Zeilen voran gestellt ist: not a virus

Ist das System doch nicht sauber???

Robert

Hallo Robert,

das Log sieht im Moment sauber aus! [img]graemlins/daumenhoch.gif[/img]
Wollen wir hoffen, dass es so bleibt.

Diesen Eintrag solltest Du noch fixen, da er ohnehin verwaist ist:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - </font>[/QUOTE]Folgendes kannst du noch fixen. Ist zwar ungefährlich, kann aber unter Umständen dein Laptop ein wenig ausbremsen.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot </font>[/QUOTE]Gestolpert bin ich im ersten Moment über diesen Eintrag:
</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE </font>[/QUOTE]Aus dem Log lese ich, dass es sich um ein IBM ThinkPad handelt und lt. http://www.sysinfo.org/startuplist.p...E&count=&type= findet man die ICO.exe eher auf einem Sony-Laptop. Wenn Du ganz sicher gehen willst, kannst Du die Datei mal bei Kaspersky überprüfen.

</font><blockquote>Zitat:</font><hr /> Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe" </font>[/QUOTE]Aufgrund der Proxy-Einstellungen unter R0 vermute ich, dass es sich um einen Firmen-Laptop handelt. Wenn richtig, und es bei Euch üblich ist, dass Rechner/Laptops über VNC ferngewartet/ferngesteuert werden, ist der Eintrag imho OK.
BTW: Was sagt denn Eure IT dazu, wenn Du aus dem Internet Programme wie eScan herunterlädst und ausführst?!?

</font><blockquote>Zitat:</font><hr />
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
</font>[/QUOTE]Die beiden Dialer würde ich löschen.
Zu den anderen Dateien kann ich spontan nichts sagen. Diese sind mir unbekannt. Wo liegen die Dateien denn (genauer Pfad)?

Hi Lutz,
schon mal für zwischenduch ein herzliches Dankeschön für deine Hilfe. Ohne dich wäre ich wohl verloren gewesen.

Zunächst mal zur Verdeutlichung:
Es handelt sich um meinen privaten LapTop, mit dem ich aber auch beruflich tätig bin.
Da ich seit 2 Jahren in China unterwegs bin, hat man mir zur Abfrage von dienstlichen e-mails einen Zugang zum Firmennetz konfiguriert. Deine Vermutung der Fernwartung ist richtig. Ein Programm namens awi wird beim Einloggen ins Netz aktiv und übermittelt bei Bedarf Sicherheitspatches und dergleichen. Normalerweise ist Sophos installiert. Ist mir aber letztes Jahr aus unerfindlichen Gründen abgestürzt und konnte nicht wieder hergestellt werden. Seit dem versuche ich den Rechner mit anderen Tools zu schützen.
Alles was ich in den letzten Tagen downgeloaded habe, erfolgt über einen Analog Anschluß. Die IT, ich nehme an es handelt sich um ein Überwachungsprogramm, hat also bisher keine Kenntnis davon. Bin auch schon seit Tagen nicht mehr im Firmen Netz gewesen.

Die Geschichte mit der Mouse Daemon kommt aus den Windows Updates. Bei der Überprüfung wurden mir 2 Software-Updates vorgeschlagen und weil ich halt schon mal drin war, habe ich sie gleich mit geladen.
Werde deinen Vorschlag der Überprüfung trotzdem durchführen.
Zum langsamen Rechner:
Der ist eh schon langsam, beim Booten braucht er über 3 Minuten bis ich überhaupt eine Taste berühren darf.
Da hätt ich als nächstes einen neuen Thread erstellt, um da mal die richtige Vorgehensweise abzufragen.
Wie gesagt, ich bin da nicht so firm und hab da auch schon einen RegCleaner, aber das löschen ist doch immer mit einer hohen Unsicherheit verbunden, wenn man nicht weiß, was man da löscht.

Muss aber sagen, hier aus diesem Forum habe ich unglaublich viele Kenntnisse erfahren. Vor allem die vielen Verweise auf Homepages, wo man Infos zu allem möglichen bekommt, sind wahnsinnig hilfreich.

Jetzt ist die Antwort ziemlich lang geworden, sorry.
Trotzdem muss ich noch fragen, was kannst du als optimalen Schutz noch so empfehlen. Hab deine Homepage durchstöbert, SpywareBlaster und SpywareGuard gezogen.

Halte dich weiter auf dem Laufenden.
Nochmals besten Dank
Gruß
Robert

Hallo Robert,

ich kann dir leider erst später (morgen) antworten, da ich gerade 'auf dem Sprung' bin...

Lutz,
das ist kein Problem.
Nur keine Hetze.
Wie die Chinesen sagen "mamalai" (mach mal langsam)

Robert

Lutz
noch zur Info:
Spywareblaster ist zwar downgeloaded, aber heute erst installiert.
Ist schon das dritte mal, das ich nach der Inst. öffnen will und die Meldung: "This program has been damaged, possibly by a bad sector of the hard drive or a virus. Please reinstall it."

was ist dennda los????

hab jetzt noch nen weiteren Load über Chip gezogen. schaun mer mal.

Hoffe das hat nichts mit diesem IT zutun.

Robert

Hallo Robert,

eigentlich bin ich gar nicht da im Moment ;)
Aber ich muss grad noch ein kleines Mißverständnis ausräumen.

Mit IT meinte ich die EDV-Abteilung Eurer Firma, bzw. die dort arbeitenden Menschen. Wenn man selbst in der 'Branche' beschäftigt ist, meint man manchmal zu unrecht, jeder könnte mit der Abkürzung etwas anfangen. Sorry!

Zu Deinem Problem mit dem Spywareblaster fällt mir so spontan nichts ein. Vielleicht ist die von Dir heruntergeladene Datei fehlerhaft. Das sollte sich dann zeigen, wenn die Installation aus dem Chip-Download funktioniert.
Wegen möglichem Virenbefall: Hast Du jetzt schon mal geschaut, wo die Dateien aus Deinem Post von heute 0.11 Uhr sich genau befinden?
Im Zweifel kannst Du die auch noch mal bei Kaspersky online überprüfen.
Vorher bitte nicht löschen. Escan ist offensichtlich etwas 'übersensibel'. Alternativ kannst Du auch noch einen OnlineScan mit TrendMicro, RAV oder Bitdefender machen. Links findest Du auf meiner Seite, die Du ja offensichtlich schon gefunden hast. ;)

Mehr morgen...

Hi Lutz,
hab nach deiner Anleitung alles erledigt.

O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - ist gefixt

O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
beide gefixt
Hier ist keine weitere Verlangsamung feststellbar.

O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
Kaspersky meldet OK
Auf der Suche danach wurde mir noch folgende Datei angezeigt:
Msbllco.Exe
Ebenfalls Prüfung bei K: ist OK

Zu den anderen Dateien poste ich hier mal Auszüge aus dem neuesten eScan Log:

File C:\WINNT\system32\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken.

File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Arbeitsordner\Originalprogramme\A installiert\acad 2000\MIGRATE\AMA\PICTAKER\PTEEEVAL.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Arbeitsordner\Originalprogramme\A installiert\DivX Treiber\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Programme\ACAD2000\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Interessant ist, das ich keine weiteren Änderungen als das fixen der o.g. Einträge vorgenommen habe und die beiden Dialer nicht mehr auftauchen.

Die "vncviewer.exe" wird Ok gemeldet bei Kaspersky.

Noch ein weiterer Effekt ist folgender:
2 meiner Programme sind defekt: Windows Media Player und eine Anwendung für einen MP3 Player.
WM konnte ich wieder herstellen durch Neuinstallation, den Player noch nicht, ist nebensächlich.

Seit Monaten konnte ich den Rechner nur noch manuell abschalten. Nach dem Runterfahren blieb ein schwarzer Bildschirm mit einem blinkenden Coursor stehen. So, wie beim Runterfahren und neu Starten.
Da das aber nach dem Cleaning immernoch so war, nehme ich an, das es durch die Windows Updates korrigiert wurde.

Bin unruhig: Wo sind die Dailer geblieben?????

Gruß
Robert

Hi,

nochmal :

wenn ich bei mir &lt;&lt; Free eScan Antivirus Toolkit Utility&gt;&gt; starte, bekommt das mein KAV nicht mit, hmm. Ich habe zwar keine Würmer etc., aber warum bemerkt er das net ??

&lt;&lt;Your Antivirus failes in this test!!&gt;&gt;

Das Teil sollte doch eigentlich den KAV testen und der sollte sich melden, oder für was sollte denn sonst das Proggi dasein ?


Cu

Hi zulu,

</font><blockquote>Zitat:</font><hr />Das Teil sollte doch eigentlich den KAV testen und der sollte sich melden, oder für was sollte denn sonst das Proggi dasein ?[/QB]</font>[/QUOTE]Das 'Teil' ist ein Virus-Scanner und kein Tool um vorhandene Scanner zu überprüfen!

Woher hast Du diese Meldung, bzw. wann und wie wird Dir diese gemeldet: :confused:
</font><blockquote>Zitat:</font><hr />&lt;&lt;Your Antivirus failes in this test!!&gt;&gt;</font>[/QUOTE]

Hallo Robert,

</font><blockquote>Zitat:</font><hr />File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. </font>[/QUOTE]Bei Dateien wie dieser reagiert eScan wie bereits gesagt etwas 'übersensibel'. O. genannte Datei ist ein Tool, das den Rechner neu starten kann. Meißtens sind das harmlose Überbleibsel von einer Softwareinstallation. Das gilt für alle Funde, wo eScan schreibt: not-a-virus:Tool.Win32.Reboot.
Auch hier kannst DU zur Absicherung noch einmal einen OnlineScan bei Kaspersky machen. Aber ich gehe davon aus, dass nichts gefunden wird in den Dateien.

Zu den Dialern:
Suche mal manuell nach diesen Dateien
EGDial.dll und PTEEEval.Exe
Es kann aber durchaus sein, dass die bereits länger 'weg' sind und eScan 'nur' noch in der Registry Überbleibsel gefunden hat.

Was macht die Installation von SpywareBlaster? Hat das nach dem erneuten Download funktioniert? Zusätzlich oder Alternativ empfehle ich noch Spybot Search&Destroy und Ad aware. Was auch nicht fehlen sollte ist der CWShredder -sofern nicht schon vorhanden.

Und wenn möglich würde ich an Deiner Stelle einen anderen Browser als den Internet Explorer nehmen.
Mozialla, Firefox oder Opera sind wesentlich sicherer und mindestens genauso komfortabel.

Zu der 'Geschwindigkeit' Deines Laptop:
Das ist nun nicht gerade meine Spezialität. Aber was für eine Hardware-Ausstattung hat das Gerät (insbesondere Prozessor, Arbeitsspeicher, ...) Vielleicht ist es einfach schon ein wenig 'alt' für die aktuellen Programme??

Hi Lutz,


beim Starten bekomme ich folgende Meldung :

http://www.fotoporto.com/img/1016663_00601706.jpg


Ausserdem heißt das Proggi &lt;AntiVirus Tester&gt; und nicht VirusTester, für mich eigentlich klar, daß es nicht Viren testet, sondern den Scanner. Ich glaube dieses mal liegste ausnahmsweise mal daneben. ;)

Zitat : Antivirus Tester 3.0 ist ein Programm zur Prüfung der Funktionalität installierter Virenscanner, der auf den international anerkannten Prüfvirus EICAR aufbaut und auch Routinen für diverse Würmer mitbringt.

Das kostenlose Tool des Herstellers DamselSoft India ist kein Virus, auch wenn verschiedene Virenscanner das Programm als Schädling erkennen. Es setzt lediglich den Prüfstring des international anerkannten Prüf-Virus EICAR ein und führt verschiedene Wurm-Tests durch, um die Funktionalität installierter Virenscanner zu testen.

Cu

Hi Lutz,
ich mache das jetzt hier mal Schritt für Schritt, sonst komm ich durcheinander.

EGDial.dll
Hier weiß ich noch, die war in WINNT/system 32 drin. Ist jetzt nicht mehr da.
Die manuelle Suche hat sie auch nicht mehr finden können.
Einträge waren jedoch in der Registry noch vorhanden. Beim Löschen dieser ist mir ein Schlüssel bekannt vorgekommen. Nämlich:

O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
Diesen Eintrag haben wir schon gefixt. Der hatte also mit EGDial.dll zu tun.

Robert

Hallo Zulu,
dann war das ganze ein klassisches Mißverständnis.
Ich sprach von diesem Tool:
http://derbilk.de/escan.jpg

Das von Dir verwendete kenne ich bisher nicht und kann da leider auch nichts zu sagen... :(

Lutz,
hier nun der nächste Step.

Die _MSRSTRT.EXE hab ich über Kaspersky gestern schon geprüft, ist i.O

PTEEEval.EXE:
Das ist eine AutoCAD Datei. AutoCAD ist eine Anwendung zum Erstellen von technischen Zeichnungen.
Da lass ich mal noch die Finger von. Das werde ich bei AutoDesk prüfen.

Robert

Lutz,
und wieder was erledigt.

PornWare.Dialer.IA:
Ist mit manueller Suche nicht zu finden.
Die Registry hat 2 Einträge gehabt, die nun nicht mehr drin sind.
Es war kein Verweis auf eine andere Datei und / oder ein Schlüssel vorhanden.

Robert

Lutz,

der DL über Chip geht auch nicht. Die Inst. läuft problemlos ab, beim Doppelklick zum Öffnen kommt dann die besagte Meldung.

Hast du noch ein alternativ link?

Robert

Hallo Robert,

wenn der Start des SpywareBlaster noch immer nicht funktioniert hat das imho nichts mit der Downloadquelle zu tun. Hier habe ich gerade im englischsprachigen 'offiziellen SupportForum' einen entsprechenden Thread gefunden. Scheinbar bist Du nicht der einzige mit dem Problem:
http://www.wilderssecurity.com/showt...0e9639&t=26534

Ich habe den Beitrag jetzt erst einmal nur überflogen, aber es sieht so aus, als wenn der Hijacker, der Dich heimgesucht hat 'irgendetwas gelöscht oder geändert hat, was der SpywarBlaster zum Starten braucht.

Folgendes ist nur 'ein Schuß ins Blaue'!
Der Spywareblaster braucht Microsoft Visual Basic 6.0 run-time dll
siehe hier: http://www.javacoolsoftware.info/kb/idx/2/002/article/
Ich könnte mir vorstellen, dass der Hijacker diese Datei überschreibt, um SpywareBlaster unbrauchbar zu machen.
Such doch mal die Datei MSVBVM60.DLL auf Deinem Rechner.
Bei mir hat sie die Dateiversion: 6.00.9237 und das Erstellungsdatum: May 29, 2001
Wenn bei Dir dort etwas anderes steht, kann das meinen Verdacht bestätigen...

Sorry Lutz, das ich erst jetzt antworte.

Bin schon wieder Opfer eines Hijack-Angriffes geworden.
Diesmal jedoch wurde die Attacke schnell bemerkt, dank der Scanner, die ich schon auf deine Empfehlung hin installiert bzw. geladen hatte.
Die Inst. des Virus wurde zwar nicht verhindert, aber durch SpyGard kam die Meldung, das die Homepage auf about:blank gesetzt werden soll.
Mit Ad-aware und SpyBot hab ich das System sofort wieder bereinigen können.
Überprüfung mit HijackThis, AntiVir und eScan meldeten ein sauberes System.

Mach mich mal auf die Suche nach dieser run time dll.
Muss jetzt schaffen, werde mich später wieder melden.

Gruß
Robert

</font><blockquote>Zitat:</font><hr />Sorry Lutz, das ich erst jetzt antworte.</font>[/QUOTE]Kein Problem!
Pole Pole (mach mal langsam), wie der Kenianer sagen würde... ;)

Ich muss zugeben, wir -die wir uns auch forenübergreifend mit dieser Problematik beschäftigen- 'schwimmen' zur Zeit noch, was eine endgültige Lösung angeht.
Auf der einen Seite wäre sicherlich der Ratschlag, Dein System neu aufzusetzen nicht der verkehrteste. Aber aufgrund der Tatsache, dass Du Dich in China aufhälst und wohl nach einer kompletten Neuinstallation des Rechners wahrscheinlich technisch (nicht vom können her!!) nicht in der Lage sein wirst, alle Anwendungen und Einstellungen (CAD, Mailzugang zum Arbeitgeber,...) wieder einzurichten. Bleibt 'uns' wohl nichts anderes übrig, als auf dem Weg weiterzumachen, den wir bisher eingeschlagen sind.

Ich habe noch ein paar Fragen zum besseren Verstehen und hoffe auf Dein Verständnis, dass ich Dich ein bisschen als 'Versuchskanninchen missbrauche'.

</font><blockquote>Zitat:</font><hr />Bin schon wieder Opfer eines Hijack-Angriffes geworden.</font>[/QUOTE]Passierte dies während des Surfens, so dass der Verdacht nahe liegt, dass Du auf eine entsprechend präparierte Seite geraten bist, oder passierte das ganze offline?
Wenn möglich, versuche mal die Uhrzeiten festzuhalten, wann genau eine Infektion, bzw. ein Infektionsversuch erfolgt. Es gibt eine Reihe von berichten, dass dies nämlich immer zur gleichen Uhrzeit passiert, egal ob on- oder offline. Letzteres würde die Theorie erhärten, dass unsere Säuberungsversuche doch nicht von dauerhaftem Erfolg sind und noch Überreste verbleiben, wo auch immer.

</font><blockquote>Zitat:</font><hr />
Mit Ad-aware und SpyBot hab ich das System sofort wieder bereinigen können.</font>[/QUOTE]Kannst Du bitte mal die Log-Dateien der beiden Programme posten, was genau entfernt wurde?!?

</font><blockquote>Zitat:</font><hr />Überprüfung mit HijackThis, AntiVir und eScan meldeten ein sauberes System.</font>[/QUOTE]Wichtig ist, dass mindestens ein Neustart des System und mehrfaches Starten des Internet-Explorers erfolgt sind, bevor Du eine Überprüfung mit HijackThis machst.
Mit anderen Worten. Wenn Du etwas mehr Zeit hast, fahre Dein Laptop bitte ein paar mal (3-4x) rauf und runter und starte nach jedem booten den Internet-Explorer jedesmal in mehreren Fenstern, ohne das Du online gehst. Die 'entscheidene Frage' ist, ob das Log von HijackThis dann immer noch sauber ist.

</font><blockquote>Zitat:</font><hr />Mach mich mal auf die Suche nach dieser run time dll.</font>[/QUOTE]Wie gesagt, dass ist nur eine Vermutung. Aber eine Überprüfung der Datei ist sicherlich nicht schädlich.

Edit: Nur Zitatfunktion richtig gesetzt.

[ 10. Mai 2004, 13:10: Beitrag editiert von: Lutz (DerBilk) ]

Hi Lutz,
gern bin ich das Versuchskanninchen, wenn es denn anderen und natürlich auch mir hilft.
Gib mir nur etwas Zeit, um die daten zu prüfen und die Einzelheiten zusammenzustellen.
Hier in Shanghai ist es beim Transrapid Projekt augenblicklich etwas hektisch und ich leiste fast einen 24 Stunden Full-Time-job.
Vorab schon mal dies:
Deine Annahme, ein Neuaufsetzen ist technisch nicht möglich, ist absolut richtig. Schon garnicht, wenn es um Netzwerk-Konfiguration geht.

Der 2. Angriff erfolgte während einer Online-sitzung, just als ich ein Update von SpyBot ziehen wollte.

Die Logs poste ich später, bin gerade aus der nachtschicht gekommen und brauch erst mal ne Mütze voll Schlaf. Konzentration läß nach.
ich kann aber schon sagen, es handelte sich wieder um einen E-Group Virus. Einen den ich einen Tag vorher eleminiert habe.

Angriff muss gegen 23 bis 24 Uhr deutscher Zeit erfolgt sein. Können wir aber anhand der Logs genauer sagen, da ich ja sofort reagiert habe.

Es hat, daran kann ich mich noch erinnern, einen Systemstart vor der Prüfung mit HT gegeben. Werde das aber gemäß deiner Vorgabe wiederholen.

Zur MSVBVM60.DLL:
Version:6.00.9690
Erstellt lt. Datei-Info am 01.Sept.2003
Zeile Kommentar, Registerblatt Version: 03.Sept.2002
Sorry Lutz,
ich hoffe du kannst was damit anfangen. Ich muss erst mal eine pause einlegen, mir fallen die augen zu.
Robert

Edit: Zeile Korrigiert

Hi Lutz,

4 Starts gemacht, wie "befohlen". HT zeigt keine unnatürlichen Einträge.

Zur Angriffszeit:
Die AdWare Log wurde am 09.05 um 02:28 erstellt. Deutschland ist 6 St. zurück, d.h., bei euch war es dann 20:28 am 08.05.
Hier das File (ohne die geladenene Prozesse, da dort kein fehlerhafter Eintrag gefunden wurde):
Starte Prüfung der Registrierung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

AdvertBar Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\AdTools, Inc.


Alexa Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}


EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{2F668A6D-2EC7-4E3A-A485-819E210738D6}


EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : TypeLib\{83F0D6AA-CD15-46B5-AA4E-BDB506B4AE53}


MainPean Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\MainPean Highspeed


StarInstall(MainPean) Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{B0CE21C5-6A79-45B7-AB9C-0008E75F2DBF}


StarInstall(MainPean) Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : Interface\{CD6B926C-903F-46A4-9C7D-F3839F081788}


WhenU Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\WhenU


WhenU Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : WUSN.1


CoolWebSearch Objekt identifiziert!
Typ : Reg.Wert
Daten :
Rootkey : HKEY_LOCAL_MACHINE
Objekt : SOFTWARE\Microsoft\Internet Explorer\Main
Wert : HOMEOldSP


Ergebnis der Registrierungsprüfung:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 10
Objekte insgesamt bis jetzt identifiziert 10


Starte erweiterte Registrierungsprüfung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank

Possible Browser Hijack attempt Objekt identifiziert!
Typ : Reg.Daten
Daten : "about:blank"
Rootkey : HKEY_LOCAL_MACHINE
Objekt : Software\Microsoft\Internet Explorer\Main
Wert : Start Page
Daten : "about:blank"


Ergebnis der erweiterten Registrierungsprüfung:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 1
Objekte insgesamt bis jetzt identifiziert 11


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@as1.falkag[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 03.05.2004 21:21:45
Last accessed : 08.05.2004 18:30:44
Last modified : 04.05.2004 19:57:45


Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@mediaplex[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 08.05.2004 07:13:53
Last accessed : 08.05.2004 18:30:44
Last modified : 08.05.2004 07:13:53


Tracking Cookie Objekt identifiziert!
Typ : Datei
Daten : lippert@tribalfusion[1].txt
Objekt : C:\Dokumente und Einstellungen\LIPPERT\Cookies\

Created on : 03.05.2004 18:16:23
Last accessed : 08.05.2004 18:30:44
Last modified : 03.05.2004 18:16:23


¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Suche und überpfüfe Dateien intensiv (C:)
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯


Performing conditional scans..
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

EGroup Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : CLSID\{2ABE804B-4D3A-41BF-A172-304627874B45}


EGroup Dialer Objekt identifiziert!
Typ : Verzeichnis
Objekt : c:\programme\Instant Access


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : center
Objekt : c:\programme\instant access\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:24:42
Last modified : 21.12.2003 07:49:02


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : dialer
Objekt : c:\programme\instant access\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:24:42
Last modified : 21.12.2003 07:48:45


EGroup Dialer Objekt identifiziert!
Typ : Datei
Daten : mseggrpid.dll
Objekt : c:\winnt\system32\

Created on : 21.12.2003 07:48:45
Last accessed : 08.05.2004 18:31:19
Last modified : 21.12.2003 07:48:45


MainPean Dialer Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Freeware


CoolWebSearch Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : PROTOCOLS\Filter\text/html


CoolWebSearch Objekt identifiziert!
Typ : Reg.Schlüssel
Daten :
Rootkey : HKEY_CLASSES_ROOT
Objekt : PROTOCOLS\Filter\text/plain


CoolWebSearch Objekt identifiziert!
Typ : Reg.Wert
Daten :
Rootkey : HKEY_CURRENT_USER
Objekt : Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
Wert : ITBarLayout


Conditional scan result:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Neue Objekte: 9
Objekte insgesamt bis jetzt identifiziert 23


02:31:24 Systemprüfung beendet.

Zussamenfassung der Überprüfung
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
Gesamte Zeit für Systemüberprüfung :00:02:23:306
Objekte überprüft:42234
Objekte identifiziert:23
Objekte ignoriert:0
Neue Objekte:23


Hier noch der Report von SpyBot:


--- Report generated: 2004-05-09 03:30 ---

AdBreak: Typelib ( (Core 1.0 Type Library)) (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\Typelib\{4116AE6F-C376-42E7-9E15-EE109055FC8E}

Alexa Related: What's related link (Datei austauschen, fixed)
C:\WINNT\Web\RELATED.HTM

BDE Projector: File extension link (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\.b3d

BDHelper: Interface (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}

BDHelper: Typelib (Registrierungsdatenbank-Schlüssel, fixed)
HKEY_CLASSES_ROOT\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1474832848-1173774646-184960113-1299\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004=W=3

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\S-1-5-21-1474832848-1173774646-184960113-1299\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=

Windows Media Player: Client ID (Registrierungsdatenbank-Änderung, fixed)
HKEY_USERS\.DEFAULT\Software\Microsoft\MediaPlayer\Player\Settings\Client ID=


--- Spybot-S&D version: 1.2 ---
2003-03-16 Includes\Cookies.sbi
2003-03-16 Includes\Dialer.sbi
2003-03-16 Includes\Hijackers.sbi
2003-03-16 Includes\Keyloggers.sbi
2003-03-16 Includes\Malware.sbi
2003-03-16 Includes\plugin-ignore.ini
2003-03-16 Includes\Security.sbi
2003-03-16 Includes\Spybots.sbi
2003-03-16 Includes\Temporary.sbi
2003-03-16 Includes\Tracks.uti
2003-03-16 Includes\Trojans.sbi

Im Moment funktioniert alles gut und macht keine Probleme. Der Rechner scheint sogar wieder etwas flüssiger zu laufen.

Gruß
Robert

Hallo Robert,

fangen wir mal mit der Runtime-DLL an. Da ich hier 'dummerweise' auf meinem Win98-Rechner nachgeschaut habe, habe ich natürlich auch eine ältere Version gefunden. Ich denke, den Part mit der vertauschten MSVBVM60.DLL vergessen wir erst einmal wieder.

Vielmehr gehe ich im Moment davon aus, dass -auch wenn Dein System im Moment 'stabil' ist- der Hijacker noch nicht wirklich entfernt ist. :(
Vergleiche zum Beispiel hier (in englisch): http://www.wilderssecurity.com/showt...t=26534&page=2
Posting: May 10th, 2004, 06:21 PM
Was dort unter 1-7 beschrieben ist, habe ich gestern auch mal nach einer 'gewollten Infektion' durchgeführt und hier im Board von Rokop-Security dokumentiert:
http://www.rokop-security.de/board/i...ndpost&p=33741

Lade dir hier
http://www10.brinkster.com/expl0iter...t/Find-All.zip
bitte mal das Tool FindAll herunter
und führe die Find-All.bat aus. Anschließend bekommst Du (hoffentlich) eine Log-Datei namens OUTPUT.TXT. Den Inhalt poste hier bitte komplett. Dann schauen wir weiter.

BTW: Hast Du die Sachen, die Adaware gefunden hat alle entfernt? Außerdem solltest Du Spybot mal updaten. Die Definitionsdateien sind recht veraltet...


Ach noch was: China und TransRapid klingt ziemlich spannend. [img]smile.gif[/img] Das wollte ich gestern schon sagen.

Lutz,
ich unterstelle mal, da du dich mit Computern befasst und dich offensichtlich sehr gut mit dem "Müll" drumherum auskennst, stehst du HiTec Dingen offen gegenüber. Der Transrapid ist ein HiTec Gerät und ich bin mit Leidenschaft dabei. Du hast absolut recht: es klingt nicht nur spannend, es ist auch spannend.
Eine besondere Würze ist natürlich die Zusammenarbeit mit den chinesischen Kollegen. Teilweise zum Haareausraufen. Aber gut, das ist OK.
Nicht missen möchte ich die Zeit, die ich mittlerweile in China, also in Shanghai, verbracht habe. Die Kultur, die Menschen, besonders die Verkehrsregeln, einfach irre. Das Leben könnte so einfach sein in Deutschland.
Schluß mit den Träumereien. Back to business.

Du machst mich irgenwie wiedermal stutzig.

"Hast Du die Sachen, die Adaware gefunden hat alle entfernt?"

Hat das nicht Adaware alles selbstständig gemacht?
Ich hab das nicht mehr genau in Erinnerung, aber nach dem Auffinden von Viren, kommt doch die Fixen Abfrage, oder? Und irgendwo bei HijackThis hab ich gelesen, fixen heißt, Datei reparieren oder löschen.
Mach mich nicht schwach, aber ich habe nichts weiter unternommen. Muss ich da noch tätig werden?

Ja, danke für die Erinnerung, wollte ich schon längst erwähnt haben:
"Außerdem solltest Du Spybot mal updaten."

Das Updaten habe ich schon mehrfach versucht. Leider bekomme ich nach minutenlangem Warten eine Meldung, das der Server nicht funktioniert.
Das ist gewesen, als ich noch mit IE als Browser unterwegs war.
Habe gestern Mozilla geladen und bin damit online gegangen.
Die Update-Funktion von SpyBot meldet mir (Mozilla als Browser) ca. 2 Sekunden nach anklicken, es wären keine Updates verfügbar.

Gib mir noch etwas Zeit, um die anderen Prüfungen durchführen zu können.

Übrigens, du hast ja auch ein hochinteressantes Hobby: Kenia!

Grüße
Robert

Hallo Leute,
will Lutz nicht mit solchen Nebensächlichkeiten belasten, deshalb meine Frage an alle:

Wie kann ich Zitate in meine Beiträge einfügen? In der Hilfe finde ich nichts.

Robert

</font><blockquote>Zitat:</font><hr />Hat das nicht Adaware alles selbstständig gemacht?
Ich hab das nicht mehr genau in Erinnerung, aber nach dem Auffinden von Viren, kommt doch die Fixen Abfrage, oder? Und irgendwo bei HijackThis hab ich gelesen, fixen heißt, Datei reparieren oder löschen.
Mach mich nicht schwach, aber ich habe nichts weiter unternommen. Muss ich da noch tätig werden?
</font>[/QUOTE]Adaware macht das nicht ganz automatisch. Am Ende des Scanns bekommst Du ja angezeigt, was Adaware gefunden hat. In dieser Liste gibt es vor jedem Eintrag eine Klickbox, um die Beiträge zu markieren. Nur, wenn Du die markierst und dann auf 'Weiter' klickst, entfernt Adaware auch die Einträge. Also im Grunde genauso, wie bei HijackThis. Da das Log, das Du geposted hast, aber nichts darüber aussagt (das liegt aber am Log, nicht an Dir!), ob Du das gemacht hast, habe ich vorsichtshalber noch einaml gefragt.

Bei Spybot S&D wählst Du als Update-Quelle am besten 'EON (Australia) aus, diese Quelle ist -zumindest von hier aus Deutschland- am besten zu erreichen. Die Auswahl erfolgt 2 Button neben dem Button 'Nach Updates suchen'.


</font><blockquote>Zitat:</font><hr />Wie kann ich Zitate in meine Beiträge einfügen?</font>[/QUOTE]Entweder, Du gehst in dem Posting, das Du zitieren willst auf http://www.trojaner-board.de/forum/b_zitat.gif . Dort hast Du dann den ganzen vorherigen Text mit den entsprechenden TAGS (QUOTE) und (/QUOTE) nur mit eckigen Klammern, anstatt runden.

Wenn Du nur einzelne Passagen in die Zitatfunktion aufnehmen willst, gesht Du am besten auf Antworten und unterhalb der Textbox auf diesen Button http://www.trojaner-board.de/forum/ubb_quote.gif
Zwischen den entsprechenden TAGS kannst Du dann den Text den Du zitieren willst hineinkopieren.

Ja. Kenia ist so ein Hobby, für das mir leider im Moment Geld und Zeit fehlen... [img]graemlins/heulen.gif[/img]

Entweder Du klickst auf den Button http://www.trojaner-board.de/forum/b_zitat.gif und kürzst dann den Teil, den Du nicht zitieren willst, raus.

Oder Du fügst ganz einfach folgenden Code in Deinen Beitrag:

</font><blockquote>Code:</font><hr /><pre style="font-size:x-small; font-family: monospace;"></pre>[/QUOTE]Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

edit: 1:0 für Lutz! [img]graemlins/party.gif[/img]

Yopie, Lutz,
danke für die Zitat Erklärung, werd ich mal gleich ausprobieren.

</font><blockquote>Zitat:</font><hr />Anschließend bekommst Du (hoffentlich) eine Log-Datei namens OUTPUT.TXT. Den Inhalt poste hier bitte komplett. </font>[/QUOTE]Hier isse:
--===**'FIND-ALL' VERSION 3, 5/11**===--


Thu May 13 03:59:07 2004 -- Results:
*System Info:

Microsoft Windows 2000 [Version 5.00.2195]
C: "WINNT" (4CBE:296B) - FS:NTFS clusters:512
Total: 29 998 047 232 [28G] - Free: 18 399 201 280 [17G]


Locked or 'Suspect' file(s) found...
\\?\C:\WINNT\System32\LOGIKM.DLL +++ File read error
\\?\C:\WINNT\System32\LOGIKM.DLL +++ File read error


REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4A368E80-174F-4872-96B5-0B27DDD11DB2}]
@="SpywareGuard Download Protection"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]

REGEDIT4

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter]

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"

Class Install Handler
{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}
C:\WINNT\system32\urlmon.dll

deflate
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

gzip
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

lzdhtml
{8f6b0360-b80d-11d0-a9b3-006097942311}
C:\WINNT\system32\urlmon.dll

text/webviewhtml
{733AC4CB-F1A4-11d0-B951-00A0C90312E1}
%SystemRoot%\system32\shell32.dll

*Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
no access VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Read VORDEFINIERT\Administratoren
Read NT-AUTORITŽT\SYSTEM

Ich habe die angegebenen Links besucht und kann nun selbst als Laie, feststellen, Lutz, dein Näschen hat dich nicht betrogen. Es gibt eine dll, die auch in der Windows Suche nicht gelistet wird.
Der Übertäter heißt wohl: LOGIKM.DLL

Habe auch die Reglite laufen lassen, hat ebenfalls diese dll lokalisiert.
Aber irgendwie kommt die mir bekannt vor. Die hab ich doch letzte Woche schon mal auf meinem Rechner gesehen, in irgendeinem Log file war die drin. :confused:


 </font><blockquote>Zitat:</font><hr /> In dieser Liste gibt es vor jedem Eintrag eine Klickbox, um die Beiträge zu markieren. Nur, wenn Du die markierst und dann auf 'Weiter' klickst, entfernt Adaware auch die Einträge.</font>[/QUOTE]Ja, jetzt kommt es mir wieder so langsam.
Das Anklicken habe ich selbstverständlich gemacht.
Sorry, für meinen Blackout. Bin wohl etwas überfordert.

Lutz, sag mir aber bitte nicht, ich soll nach der Anleitung wie sie bei wilders security steht, vorgehen.
Uuhhä, das geht ins Eingemachte.

Gruß
Robert

Lutz,
jetzt weiß ich woher ich die Datei LOGIKM DLL kenne.
Bin nochmals alle Postings durchgegangen und in einem der ersten hast du 2 Vorgehensweisen gelistet.
Hier sollte ich xfind durchlaufen lassen.
Da Vorschlag 1 aber schon half, war Nr. 2 ja nicht mehr notwendig.
Der Mensch ist ja aber neugierig und da ließ ich dann halt xfind mal scannen und siehe da, in der file.txt ist genau diese dll aufgeführt und daher kam die mir bekannt vor.
Habe der Sache damals keine Bedeutung beigemessen.
OK, thats life. Sorry for that.

Mal noch so allgemein angemerkt, habe in den letzten Tagen so ungewöhnliche Verhaltensweisen am LapTop beobachtet.
Also zunächst ist er ziemlich langsam geworden. Besonders als ich noch IE als Browser verwendete, mit Mozilla geht das alles irgendwie zwar schneller, aber immernoch mit kleinen Stockungen.

Öffne bzw. schließe ich eine Anwendung bauen sich häufig die Icons in der Schnellstartleiste neu auf.
Auch sonst baut er den Bildschirm gelegentlich total neu auf.
Ganz besonders fällt auf, das in den letzten Tagen, öfters die Meldung kommt, die Auslagerungsdatei ist nicht ausreichend und wird vergrößert.

Betroffen sind auch die "normalen" Anwendungen wie Excel und Word. Hier wird recht lange zeit benötigt, um eine Datei zu öffnen. Wird die Anwendung in der Sitzung erstmalig geöffnet, braucht der Rechner Ewigkeiten, war sie auf, geht es etwas schneller. Ich denke, das hängt auch mit der Auslagerung zusammen.

Ich wollte das hier nur mal erwähnen.
Vielleicht ist das ja alles auf den Hijacker zurückzuführen, der Systemressourcen blockiert.

Liebe Grüße
Robert

Hallo Robert,

</font><blockquote>Zitat:</font><hr />... sag mir aber bitte nicht, ich soll nach der Anleitung wie sie bei wilders security steht, vorgehen. Uuhhä, das geht ins Eingemachte... </font>[/QUOTE]'Wir' sind gerade fieberhaft dabei, eine Lösung zu entwickeln. Im Moment bin ich recht optimistisch, dass wir in ein -spätestens zwei- Tagen etwas anbieten können, was Dir und natürlich allen anderen Betroffenen die Arbeit bis auf ein paar Klicks abnehmen kann. Bis dahin schlage ich vor, dass Du erst einmal nichts weiter unternimmst. Ich melde mich hier, sobald es etwas 'Entscheidenes' zu berichten gibt.

Hi,

ich klink' mich mal hier ein, ohne den gesamten Thread gelesen zu haben. Lediglich auf die Ausgangsfrage will ich Bezug nehmen: Sieht aus wie StartPage-CZ aka StartPage.gv. Wird von der aktuellen Virendefinition von McAfee, Kapersky und F-Secure erkannt und gebannt. Mehr Infos s. hier.

Gruß, Mäc

Hi Mäc,
sieht ganz so aus als hätten wir eine Gemeinsamkeit:
</font><blockquote>Zitat:</font><hr /> StartPage-CZ aka StartPage.gv. </font>[/QUOTE].

Hab mir deinen Thread angesehen und muss sagen, vieles davon kommt mir sehr, sehr bekannt vor. Leider kann ich deine Vorgehensweise nicht ganz nachvollziehen, wegen der vielen Fachausdrücke.
Wie geht z. B.:
</font><blockquote>Zitat:</font><hr /> Mit regedt32 nehme ich die Sicherheitsberechtigungen für Search ganz raus - der Key ist leer, also nehme ich jede Berechtigung weg. </font>[/QUOTE]Ok, wie auch immer.
Kannst du mal nachsehen, ob bei dir eine "LOGIKM.DLL" vorhanden war oder gar noch ist?
Kennt jemand anderes diese dll?
Konnte die dll mit find all bzw. xfind sichten.

Übrigens, dank Vorschlag 1 von Lutz, habe ich seit über 1 Woche Ruhe. Der zweite Befall, ist wohl auf Schädlingsreste und Neuaktivierung dieser zurückzuführen. Mit den empfohlenen Scannern und Removern konnte die Sch..... beseitigt werden.
Ich warte nun noch auf die "Lösung", um absolut clean zu werden.

Danke und Gruß
Robert

Hi Lutz, Markus und alle, die hier tätig waren,

Hab das sphijacker removal tool durchlaufen lassen.
Hier meine Erfahrungen, die euch sicherlich interessieren:

In Reglite ist die "LOGIKM.DLL" nicht mehr zu finden.
Dafür ist sie nun in WINNT/System32 sichtbar.
Traue mich noch nicht, sie zu löschen, hab sie daher erstmal umbenannt.
Frage: Darf ich dieses file bedenkenlos deleten?

Xfind und auch find-all melden die umbenannte Datei.
Alle anderen Scanner erkennen die nun sichtbare Datei aber nicht als Virus. Selbst in der Originalform nicht (also nicht umbenannt).

Festgestellt wird auch, das der Rechner wieder wesentlich schneller läuft, das gilt auch für den Boot-Vorgang.

Das SpywareGuard Icon ist nun auch wieder vorhanden. Hier hat es eine Beeinflussung gegeben, die ich noch gar nicht erwähnt hatte.

Ich gehe davon aus, ich kann jetzt SpywareBlaster installieren, werde das gleich testen.

Wollte nur mal schnell den erfolgreichen Einsatz des Removers melden.

Ich will nicht voreilig sein, aber ich denke, es ist an der Zeit, allen die mir bei der Beseitigung des Trojaners geholfen haben, meinen ergebensten dank auszusprechen.
Ganz besonderer Dank geht an Lutz, der mir nicht nur mit seinem fachlichem Rat zur Seite stand, sondern auch noch Interesse für die Gesamtthematik geweckt hat.

Zunächst viele Grüße aus dem Treibhausähnlichem Shanghai
Robert

Hallo Robert,

</font><blockquote>Zitat:</font><hr />In Reglite ist die "LOGIKM.DLL" nicht mehr zu finden.
Dafür ist sie nun in WINNT/System32 sichtbar.
Traue mich noch nicht, sie zu löschen, hab sie daher erstmal umbenannt.
Frage: Darf ich dieses file bedenkenlos deleten?</font>[/QUOTE]Wenn Du die Datei umbenennst, sollte insbesondere der Teil nach dem Punkt, also das Dateiformat geändert werden (z.B. LOGIKM.ALT) damit sie nicht unter Umständen als DLL ausführbar bleibt.

Ich gehe davon aus, dass Du die DLL bedenkenlos löschen kannst. Wenn Du ganz sicher gehen willst, kannst Du sie (am besten gezippt) an virus@rokop-security.de schicken. 'Die' können das wesentlich besser analyisieren als ich. Schreib bitte kurz in die Mail, dass es sich um einen dieser hartnäckigen '.../sp.html-HiJacker' handelt. Du wirst dann informiert, was genau mit der Datei los ist.

</font><blockquote>Zitat:</font><hr />Ganz besonderer Dank geht an Lutz, der mir nicht nur mit seinem fachlichem Rat zur Seite stand, sondern auch noch Interesse für die Gesamtthematik geweckt hat. </font>[/QUOTE]Gerne geschehen! Dafür hast Du ja auch lange als mein 'Versuchskanninchen' herhalten müssen. [img]graemlins/daumenhoch.gif[/img] Insofern ist es auch an mir, mich bei Dir zu bedanken!

Wenn Du jetzt noch Probleme mit der Auslagerungsdatei (hast Du neulich erwähnt) oder mit amderem hast, melde Dich wieder. Das bekommen wir auch noch in den Griff.

Von subtropisch sind wir hier leider meilenweit entfernt. Ich würde eher sagen: 'Für die Jahreszeit zu kalt.'

Hallo Lutz,
es war mir eine Ehre dein Versuchskanninchen gewesen zu sein.

Die dll werde ich gleich an rokop senden, damit kann ich vielleicht betragen, das den anderen Betroffenen ebenfalls geholfen werden kann.

Bei der Auslagerungsdatei gibt es zur Zeit keine Meldungen mehr.

Ich bleibe diesem Forum treu und beabsichtige, mich weiter mit der Materie zu befassen.

Nochmals ein herzliches Dankeschön an dich.

Die Regenzeit hier in Shanghai begann gleich mit schaurig kühlen Regenschauern, begleitet von frischem Wind. Sehr unangenehm im Moment.
Da schmeckt ein Glas mit lecker duftendem Whiskey mit Beine hoch und den lieben Gott einen guten Mann sein lassen, nochmal so gut. Wärmt zumindest von innen.
Gruß aus dem nun etwas abgekühltem Shanghai.
Robert

Hallo Robert,

na, sieht ganz so aus, als wenn Du es erst einmal überstanden hast. Wenn ich es richtig in Erinnerung habe, hast Du Dir in der Zwischenzeit Mozilla als Browser angelegt. Dabei würde ich an Deiner Stelle auch bleiben. Denn das, was Dir hier passiert ist, kann mit dem Internet Explorer jederzeit wieder passieren.

</font><blockquote>Zitat:</font><hr />Bei der Auslagerungsdatei gibt es zur Zeit keine Meldungen mehr.</font>[/QUOTE]Andere Betroffene melden auch, dass nach Entfernung des Hijackers die Auslagerungsdatei keine Probleme mehr macht und der Rechner wieder schneller ist. Scheinbar gab es auch hier einen direkten Zusammenhang.

</font><blockquote>Zitat:</font><hr />Ich bleibe diesem Forum treu und beabsichtige, mich weiter mit der Materie zu befassen.</font>[/QUOTE]Das freut mich! [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr /> Da schmeckt ein Glas mit lecker duftendem Whiskey </font>[/QUOTE]Um 02:00 Uhr morgens wäre es mir ein bisschen spät dafür ;) , aber sicher hattest Du wieder einen harten Tag. Er (der Whiskey) sei Dir gegönnt.

Ich wünsch Dir eine Viren-Würmer-Trojaner-Dialer-Spyware-...-freie Zeit.

Hi Lutz,
sorry ich benötige nochmals Hilfe.
Es geht mal wieder um einen HJ.
Aber keine Sorge, bin nicht mehr davon befallen.

Die als Verursacher ermittelte Datei Logikm.dll hab ich auf deine Bitte hin an rokop gesendet. Von den 56 kb kommen aber nur 1 kb an.

Ich hab in Abstimmung mit Roman schon mehreres versucht. Es bleibt dabei 1 Kb.
Selbst zippen iss nich. Da kommt ne Meldung, das Fehler aufgetreten sind.

Datei dann als txt gespeichert und mit UltraEdit32 geöffnet. Meldung: Kein Zugriff möglich.

Per drag&drop in die e-mail, lässt gmx nicht zu.

Ich schließe einen Bedienungsfehler meinerseits aus, da ich schon hunderte von e-mail Anhängen auf dieselbe Art und Weise erzeugt habe.

Hast du noch ne Möglichkeit im Peto??????

Nebenbei SpywareBlaster-Installation ist i.O.
Auch SpywareGuard läßt sich wieder updaten.

Robert

Hi Robert,

Mensch bekomm ich jedes Mal ein Schreck, wenn ich ein neues Posting von Dir sehe... (Kleiner Scherz! ;) )

Ne, so spontan hab ich keine Idee. Ich geh mal in mich.

Lutz, mein Bester,

ich sollte wohl einen neuen User anmelden, um dich nicht zu erschrecken.
Schließlich will ich nicht schuld sein, wenn du ne Herzattacke oder so bekommst.
Wir brauchen dich doch noch.

Darf ich mal fragen wieso du dich eigentlich so prima mit Computern und den negativen Beimischungen auskennst?
Hast du beruflich damit zu tun?