|
Nervige Startup Einträge Hallo allerseits! Gestern ereilte mich erstmals der Adware/Hijacker-Schrecken ...und zwar gleich im Paket. Beim Surfen mit dem Internet Explorer (großer Fehler) klickte ich unbedacht auf einen Link, dessen Ziel ich jedoch nie erblickte, da sich augenblicklich alle Browserfenster schlossen. Beim erneuten Öffnen des IE meldete mein AntiVir drei Trojaner (TR/Small.HL, TR/Click.526, TR/Click.Small.KG), die ich sofort löschen ließ. Das Browserfenster enthielt nun ausserdem eine Toolbar, die sich auch im normalen Windows Explorer zeigte. Letzterer versuchte auch gleich Verbindung ins Internet aufzunehmen, was ich jedoch per Firewall unterbinden konnte. Danach setzte ich sofort AdAware in Gang, welches prompt einige Eindringlinge ausmachte: Adware.Toolband, CoolWebSearch und IEHIjacker.SearchExe. Ersteres zu entfernen bedurfte eines Windows-Neustarts, da die lästige Toolbar ja als Systemkomponente bereits aktiv war. Im Anschluss schien aber alles in Ordnung... ein paar Säuberungen mit meinem RegCleaner-Tool, Überprüfen der Einstellungen bei System und Browser. Das einzige was sich im Nachhinein noch aufzeigte, war ein Störenfried im Deckmantel eines AntiSpy-Programms namens "UnSpyPC". Das hatte sich als Extension im IE aktiviert, ausserdem einen Programmordner angelegt samt Link auf dem Desktop. All das hab ich sofort entfernt bzw. wurde auch AdAware nochmal darauf aufmerksam. Nachdem das alles geschafft war, wirkt das System recht sauber - es ist auch erst seit einem Monat in Betrieb und daher übersichtlich. Es sind keine unerklärlichen Registry-Einträge per Tool mehr auszumachen (RegCleaner und Easy Cleaner), es kommen keine AdWare- oder Virenwarnungen mehr (AntiVir, AdAware samt VX2 Cleaner, Rootkit Revealer und Crucial ADS), es ist nichts in den System- oder Browsereinstellungen verstellt (keine der typischen Symptome von CoolWebSearch z.B., die hier schon beschrieben sind) und keinerlei absonderliches Verhalten. Ein Ärgernis aber blieb: in der Startup List, die man mit RegClean-Tools anzeigen lassen kann, taucht ein Eintrag folgender Art auf... Exe.lmmbmd c:\windows\system32\dmbmml.exe ...der Titel ist also eine Umkehrung des betreffenden Dateinamens. Die dort aufgeführte EXE-Datei existiert allerdings gar nicht. Wenn man den Eintrag löscht (oder auch nicht), generiert sich nach jedem Neustart ein neuer bzw. weiterer - es werden also stetig mehr Einträge in der Startup List, die alle dem gleichen Muster entsprechen und auf nicht existente Dateien c:\windows\system32\dm*.exe verweisen (z.B. Exe.fgzdmd c:\windows\system32\dmdzgf.exe ... oder Exe.djklmd c:\windows\system32\dmlkjd.exe). Hat hier vielleicht jemand eine Idee, was sich dahinter verbirgt und wie ich dieses Phänomen ausschalten kann? Scans im Abgesicherten Modus brachten auch keine Ergebnisse - und auch dort generiert sich der Eintrag. Ich danke euch schonmal herzlich im Voraus. Ich hoffe nur, dass ich mir einen komplizierten und langwierigen Neuinstallationsprozess ersparen kann - vor allem da das System ohnehin noch sehr frisch und stabil ist. |
Hallo J.N. Dateien sichtbar machen geht so :http://www.trojaner-board.de/59624-a...-sichtbar.html Sind diese Einstellungen bei dir so ? Irrlicht |
Hi J.N., ...haette nicht besser beschreiben koennen, was ich in den letzten Tagen durchgemacht habe. Habe genau die gleichen Probleme!!! Was noch hinzukommt: ich werde oft auf andere Seiten umgeleitet (IE), und im hijackthis kommt mir dieser Eintrag verdaechtig vor: O17 - HKLM\System\CCS\Services\Tcpip\..\{D5701ED4-59CB-4684-8E46-B84A0BD02820}: NameServer = 85.255.116.60 85.255.112.203 Ausserdem haengt der Rechner ab und zu wenn ich ihr hochfahre oder auch im Netz bin, wobei die Platte staendig arbeitet. Was da passiert will ich lieber nicht wissen... ...wuerde es lieber wieder loswerden. Any ideas? Was hast du gemacht? Grusz, h! PS: Dateien (auch geschuetzte u.a. werden bei mir alle angezeigt. Diese dm***.exe /exe.***md -Dateien lassen sich so jedoch nicht anzeigen, tauchen allenfalls in der registry auf. Entfernt man diese, hat man sie beim nächsten Neustart unter anderen Namen wieder drin. Aktuell: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\exe.mcnmd Wert: C:\WINDOWS\system32\dmncm.exe |
@haukster eröffne bitte einen eigenen Thread, dort postest du das HijackThis logfile und ein Logfile von F-secure Blacklight (wird nach dem scan automatisch im selben Pfad erzeugt, fsbl**.txt) Grüße Wildone |
@Wildone ...danke, wieder einen Schritt weiter! :-) Blacklight hat tatsaechlich etwas gefunden. Bin absoluter Newbie hier, muss erstmal lesen wie und wo man einen neuen "Thread" eroeffnet. Hier aber schon mal die Blacklight-Liste und der hijackthis-scan: ___________________________________________________ Blacklight: ___________________________________________________ 04/12/06 13:29:11 [Info]: BlackLight Engine 1.0.35 initialized 04/12/06 13:29:11 [Info]: OS: 5.1 build 2600 (Service Pack 2) 04/12/06 13:29:11 [Note]: 7019 4 04/12/06 13:29:11 [Note]: 7005 0 04/12/06 13:29:17 [Note]: 7006 0 04/12/06 13:29:18 [Note]: 7011 1692 04/12/06 13:29:18 [Note]: 7026 0 04/12/06 13:29:19 [Note]: 7026 0 04/12/06 13:29:19 [Note]: FSRAW library version 1.7.1015 04/12/06 13:31:42 [Info]: Hidden file: C:\WINDOWS\system32\wbem\wbemtest.exe 04/12/06 13:31:42 [Note]: 10002 1 04/12/06 13:32:05 [Info]: Hidden file: C:\WINDOWS\system32\filesafer23.exe 04/12/06 13:32:05 [Note]: 10002 1 04/12/06 13:32:11 [Info]: Hidden file: C:\WINDOWS\system32\dmzqz.exe 04/12/06 13:32:11 [Note]: 7002 32 04/12/06 13:32:11 [Note]: 7003 1 04/12/06 13:32:11 [Note]: 10002 1 04/12/06 13:32:17 [Info]: Hidden file: C:\WINDOWS\system32\pppcgm.exe 04/12/06 13:32:17 [Note]: 10002 1 04/12/06 13:32:22 [Info]: Hidden file: C:\WINDOWS\system32\cswpf.exe 04/12/06 13:32:22 [Note]: 7002 32 04/12/06 13:32:22 [Note]: 7003 1 04/12/06 13:32:22 [Note]: 10002 1 04/12/06 13:32:46 [Note]: 7007 0 ______________________________ Hijackthis: ______________________________ Logfile of HijackThis v1.99.1 Scan saved at 13:36:54, on 12.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\ICO.EXE C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe C:\WINDOWS\system32\LVCOMSX.EXE C:\Programme\Logitech\Video\LogiTray.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Logitech\Video\FxSvr2.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\WINWORD.EXE C:\Programme\The Bat!\thebat.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O1 - Hosts: localhost 127.0.0.1 O1 - Hosts: localhost 127.0.0.1 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Acronis*True*Image Monitor] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe O4 - HKLM\..\Run: [WG511WLU] C:\Programme\NETGEAR\WG511\Utility\WG511WLU.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [exe.mcnmd] C:\WINDOWS\system32\dmncm.exe O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/access/sdccommon/download/IbmEgath.cab O16 - DPF: {DF6504AC-3EFE-4287-B259-FB299B069C95} (WEBDE Fotoalbum Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1119.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?312 O17 - HKLM\System\CCS\Services\Tcpip\..\{D5701ED4-59CB-4684-8E46-B84A0BD02820}: NameServer = 85.255.116.60 85.255.112.203 O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo, *grummel* Einen neuen Thread hättest du einfach hier eröffnen können, indem du auf http://www.trojaner-board.de/images/.../newthread.gif geklickt hättest. Wäre übersichtlicher gewesen wenn der Threadersteller wieder kommt. Hast du Acronis nur zum Spass auf deiner Platte, oder hast du ein sauberes Image in der Hinterhand? Grüße Wildone |
@Wildone ...sorry, hab noch nie etwas in irgendwelchen Foren veroeffentlicht, kenn die Konventionen noch nicht. Aber man lernt ja hinzu. Wuerde ja auch gerne einen neuen Thread erstellen, aber ich weiss ja nicht einmal, welchen "Namen ich dem Kind" geben soll. (Sprich: um welchen Trojaner oder ähnliches es sich denn nun handelt) Ach ja, letzte Acronis-Sicherung liegt mehrere Monate zurueck, sonst waere es ja einfach... |
Hallo, als Namen hättest du z.B. "komischer O17 Eintrag" oder "werde auf Seiten umgeleitet" wählen können, aber jetzt ist der Thread hier ohnehin schon verhundst, also können wir auch hier weitermachen. Also wir haben es hier zumindest mit Rootkittechnologie zu tun, und diese ist nicht einfach zu beseitigen, da sie sich sehr tief in das System eingraben kann. Ich würde dir raten das etwas ältere Image wieder einzuspielen, das ist zumindest die sicherste Variante, beim weiteren herumfrickeln könnte man etwas übersehen, und ruckzuck sind deine Ebaydaten oder Onlinebankinginformationen auf einem Server in der Ukraine (IP des O17 Eintrags). Grüße Wildone |
Stoehn... ...die Antwort hatte ich schon erwartet. Ich glaub´ meine Daten hat der Russe schon- werde mich aber trotzdem die naechster Tage hinsetzen und das ganze System komplett neu aufsetzen. Wollte ich eh mal wieder machen. Hab Dank und Grüße zurück, h! |
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 02:34 Uhr. |
Copyright ©2000-2024, Trojaner-Board