Trojaner-Board - automatischer Seitenaufbau zu upd.extr3me.com.ar + upd.damaged.com.ar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - automatischer Seitenaufbau zu upd.extr3me.com.ar + upd.damaged.com.ar (https://www.trojaner-board.de/28503-automatischer-seitenaufbau-upd-extr3me-com-ar-upd-damaged-com-ar.html)

automatischer Seitenaufbau zu upd.extr3me.com.ar + upd.damaged.com.ar

Hallo,

mein Rechner baut ständig eine Verbindung zu den Seiten upd.extr3me.com.ar und upd.damaged.com.ar auf. Wenn ich die Internetverbindung trenne, dauert es nur ein paar Sekunden, bis sie selbständig wieder zu einer der Seiten aufgebaut wird. Mit Spybot, AdAware und HijackThis lässt sich nichts erkennbares finden, und Infos über die beiden Seiten finde ich im Internet auch nicht.

Weiss jemand, was es mit diesen Seiten auf sich hat?

BS: Win98SE
Browser: IE 6.0 SP1

Erstell mal ein Logfile mit Hijackthis und poste es hier.

Hier ist der Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:20:37, on 17.04.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ATI2PLAB.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\PROGRAMME\SYMANTEC\NORTON ANTIVIRUS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\ATI2CWXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\STARTMENü\PROGRAMME\AUTOSTART\IEXPLORER.EXE
C:\PROGRAMME\EUMEX 704PC DSL\CAPICTRL.EXE
C:\PROGRAMME\EUMEX 704PC DSL\HNETCTRL.EXE
C:\PROGRAMME\SYMANTEC\NORTON ANTIVIRUS\NORTON ANTIVIRUS\NSCHED32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\PROFILES\USER3000\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.topsearcher.com/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Notebook
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\SYMANTEC\NORTON~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\startmenü\programme\autostart\iexplorer.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [AtiGart] c:\Ati\Gart\AtiGart.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\PROGRAMME\GOZILLA\GO.EXE" /FIXRAS
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2plab.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [RVS Installer] C:\PROGRA~1\TELEDAT\WCOM\SYSTEM\RVSINST.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 704PC DSL\Einrichtung.exe
O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 704PC DSL\HNetCtrl.exe
O4 - Startup: Norton Program Scheduler.lnk = C:\Programme\Symantec\Norton AntiVirus\Norton AntiVirus\NSCHED32.EXE
O4 - User Startup: CAPI Control.lnk = C:\Programme\Eumex 704PC DSL\Einrichtung.exe
O4 - User Startup: HomeNet Control.lnk = C:\Programme\Eumex 704PC DSL\HNetCtrl.exe
O4 - User Startup: Norton Program Scheduler.lnk = C:\Programme\Symantec\Norton AntiVirus\Norton AntiVirus\NSCHED32.EXE
O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\SICHER~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\SICHER~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .aif: C:\PROGRA~1\INTERN~1\SICHER~1\PLUGINS\npqtplugin.dll

Zitat:

O4 - HKLM\..\Run: [CriticalUpdate] C:\WINDOWS\SYSTEM\wucrtupd.exe -startup
O4 - HKLM\..\Run: [Windows Taskbar Manager] c:\windows\startmenü\programme\autostart\iexplorer .exe

Da sieht kritisch aus. Daher mal die Dateien
>> C:\WINDOWS\SYSTEM\wucrtupd.exe
>> c:\windows\startmenü\programme\autostart\iexplorer .exe
bei Jotti oder Kaspersky auswerten lassen, Ergebnisse posten.

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.searchnow.ws/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.topsearcher.com/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Notebook

Diese Einträge würde ich mit Hijackthis fixen.

Danke für die Hilfe.

Hier ist die Jotti-Auswertung für iexplorer.exe:

Service
Service load: 0% 100%

File: IEXPLORER.exe
Status: INFECTED/MALWARE
MD5 141156354a449ddd0388254edac4ce84
Packers detected: PEX
Scanner results
AntiVir Found Worm/Protoride.AD
ArcaVir Found Worm.Protoride.Ad
Avast Found Win32:Protoride-A-PeX
AVG Antivirus Found Worm/Protoride.AP
BitDefender Found Win32.Worm.Protoride.AC
ClamAV Found nothing
Dr.Web Found BackDoor.IRC.Cirilico
F-Prot Antivirus Found W32/Protoride.W
Fortinet Found W32/Protoride.A-net
Kaspersky Anti-Virus Found Net-Worm.Win32.Protoride.gen
NOD32 Found nothing
Norman Virus Control Found W32/Protoride.O
UNA Found nothing
VirusBuster Found Worm.Protoride.AD
VBA32 Found Net-Worm.Win32.Protoride.gen

(Kaspersky ist drin enthalten)

Für wucrtupd.exe war Jotti überlastet, Kaspersky meldet clean.

Muss Jotti bei Gelegenheit mal nachholen.

Der gefundene Wurm schein ein Backdoor-Wurm zu sein. Da werde ich vermutlich um Neuaufsetzen nicht drumrumkommen, was? :mad:

Zitat:

Zitat von drobl

Der gefundene Wurm schein ein Backdoor-Wurm zu sein. Da werde ich vermutlich um Neuaufsetzen nicht drumrumkommen, was? :mad:

Jupp, wäre besser. Das manuelle Bereinigen ist sehr aufwändig oftmals sogar unmöglich.