Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   control.exe beschädigt (https://www.trojaner-board.de/2421-control-exe-beschaedigt.html)

miguel 12.04.2004 15:49
nach mehrmaligem laufen lassen von spybot s&d, adaware, cwsshredder und hijack this, sowie (neben meinem eigenen antivir) auch den mcafee online scan, bekomme ich noch immer beim besuch mancher seiten ein ntsearch popup mit einer eingabe aufforderung eines dialer downloads von E-Systems Inc.
ich habe zusätzlich zone alarm installiert, das mir aber nicht helfen konnte die quelle zu lokalisieren, von der der befehl ausgeht. nachdem ich control.exe im notepad geöffnet habe, vermute ich jetzt dort eine ursache! wie sollte ich nun vorgehen?
(und was schadet/bringt zone alarm?)

Logfile of HijackThis v1.97.7
Scan saved at 16:39:47, on 12.04.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\IKAUTOUP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\IKARUS\GUARD9X\GUARD9X.EXE
D:\PROGRAMME\INET\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
D:\PROGRAMME\ADOBE\ACROBAT40\DISTILLR\ACROTRAY.EXE
E:\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\CWSHREDDER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\SYSTEM\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IKARUS Guard] C:\IKARUS\GUARD9X\GUARD9X.EXE
O4 - HKLM\..\Run: [Zone Labs Client] D:\PROGRA~1\INET\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat40\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = E:\Nikon\NkView6\NkvMon.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC00-000000000000} - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...083.0493518518
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...50/mcfscan.cab

*Christian* 12.04.2004 17:51
Die Datei STARTER.EXE kenne ich net.

Shadow 12.04.2004 18:26
@ *Christian* ich glaube die ist bei dem EnsoniqMixer okay, jedenfalls kommt sie "überall" vor.
Sollte von Creative kommen, @ Miguel einfach mal rechte Maustaste => Eigenschaften

miguel 12.04.2004 18:39
ja shadow, da hast du recht, die starter.exe ist vom Creative PCI-Audio-Mixer.

aber habt ihr sonst eine Idee zu meinem problem?
(unter eigenschaften von control.exe gibts übrigens kein zweites registerblatt 'version')

Shadow 12.04.2004 18:44
Welches Datum trägt denn Deine Control.exe?
Wenn "altes" Datum, dann dürftest Du sie per Notepad eigentlich nicht "beschädigt" haben.

miguel 13.04.2004 09:05
ich meine ja nicht, dass die control.exe durch das öffnen in notepad beschädigt wurde, sondern durch einen trojaner o.ä. wie oben beschrieben habe ich nach wie vor eben jenes problem. bei öffnen von control.exe im editor findet sich im text z.b. wie "http://super-spider.com/greg/sp.php" oder "http://super-spider.com/greg/hp.php" und die können vielleicht hinweise sein, dass sich das oben beschriebenen problem in control.exe eingenistet hat.

Shadow 13.04.2004 16:34
trotzdem: welches Datum trägt die Control.exe?

miguel 14.04.2004 08:39
Geändert am: Mittwoch, 03. Dezember 2003
Letzter Zugriff: Mittwoch, 14. April 2004

das win 98 läuft aber schon länger als 02.12.2003!

Shadow 14.04.2004 09:15
Habe mal ein "älteres" Image einer Win98 Installation (allerdings 98SE) angeschaut:

Datum: 08.06.2000 17:00
Version: 4.90.0.3000

Würde mich schon Wundern wenn 98Gold eine neuere Control.exe hätte *bg*
Allerdings möglich(!) wäre es, dass ein Patch von Microsoft die Control.exe mal renoviert hätte, sollte aber an der Version-Nummer erkennbar sein!

miguel 16.04.2004 12:26
nö, hat keine 2 registerkarte unter eigenschaften, wo ich die versionsnummer finden könnte.

Shadow 16.04.2004 15:10
http://www.spywareinfo.com/~merijn/w...s.html#control


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:09 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129