|
XTBHXOCJ.EXE - loader242 ?! Woher kommt diese exe immer? HILFE! Hallo auch, ich habe seit "längerem" einen Schädling - zumindest vermute ich das. Symptome: In regelmäßigen Abständen (grob geschätzt 1x die Woche) will eine EXE-Datei, zuletzt jetzt eben die "xtbhxocj.exe" auf das Internet zugreifen. Meine Firewall meldet mir dies und ich unterbinde es dann. Diese Exe liegt dann im System Ordner von Windows. Die Datei hat als Herstellungsdatum immer den "heutigen" Tag und ist gerade erst vor wenigen Sekunden erstellt worden. Logischerweise lösche ich die Datei dann. Nach einiger Zeit (eben ca. einer Woche) versucht eine neue Datei auf das Internet zuzugreifen. Die Datein haben immer andere Namen, gleichen sich aber durch das "Kauderwelsch" - es sind immer Namen 8 mit Buchstaben. Die Eigenschaften sind sogar exakt die selben: Eigenschaften von ********.exe Registerkarte Version Dateiversion: 1.00 Beschreibung: "leer" Copyright: "leer" Weitere Versionsinformationen: Firmenname: Microsoft Interner Name: loader242 Original-Dateiname: loader242.exe Produktname: _ Produktversion: 1.00 Sprache: Englisch (USA) Größe der Datei: 9 kB Ich habe schon zahlreiche Versuche unternommen, diese Problem zu lösen. Ich habe meine Festplatte (BS) auf eine andere Platte gespiegelt und mit vielen im Netz erhältichen Virenscannern gesucht. Natürlich wurde immer erst ein Up-Date durchgeführt. Es wird nichts gefunden. - Norton AntiVirus - Avira AntiVir - KasperSky - Avalast - und noch einige mehr SpyBot Search and Destroy, CW-Schredder und Adaware SE sind auch durchgelaufen. Im HighJackThis Log-File findet sich nichts verräterisches. Und da die Frage ja auch immer kommt, die vorhandene Hard- und Software: Prozessor: Pentium II mit 400 mHz und MMX Brett: GigaByte Mainboard GB6-BXE RAM: 128 MB System: Windows 98SE Browser: IE 5.0 Ich weiß, dass ein neuer bzw. anderer Browser angebracht wäre und auch das System nicht gerade für seine Sicherheit berühmt ist, aber ich rufe im Grunde mit diesem PC nur "sichere" Seiten auf. - z.B. eBay. Es muss doch aber möglich sein, heraus zu bekommen, woher bzw. von welchem Programm diese Exe jedes mal erstellt wird! Der Trojaner, wenn es denn überhaupt einer ist, ist aber auf jeden Fall schon älter. Ich kann unmöglich der einzige sein, der das Problem hat - aber die Google-Anfrage "Loader242" bringt gar nichts. Hat nicht mal jemand einen Tipp, wie ich das mal herausbekomme? HILFEEEEEEEE! Liebe Grüße Bell |
Das ist für mich definitiv Malware. Poste mal ein Hijackthis-Logfile. |
Hallo auch, klar kann ich machen. Ich habe es natürlich zuvor schon mal angeschaut und ich konnte nichts verdächtiges finden. Aber vielleicht seht Ihr ja mehr. Logfile of HijackThis v1.99.1 Scan saved at 18:14:42, on 27.10.06 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v5.00 (5.00.2614.3500) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE C:\WINDOWS\STARTER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE C:\PROGRAMME\ELABORATE BYTES\CLONECD\CLONECDTRAY.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\SYMPROXYSVC.EXE C:\PROGRAMME\AHEAD\INCD\INCD.EXE C:\WINDOWS\SYSTEM\USBMONIT.EXE C:\WINDOWS\SYSTEM\HPOOPM07.EXE C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPODEV07.EXE C:\PROGRAMME\PLEXTOR\PLEXTOOL.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\FRITZ\FRIFON32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOEVM07.EXE C:\WINDOWS\SYSTEM\HPOIPM07.EXE C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOSTS07.EXE C:\PROGRAMME\HEWLETT-PACKARD\HP OFFICEJET G SERIES\BIN\HPOFXM07.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\EIGENE DATEN\TOOLS\HIJACK THIS\VER 1-99-1\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRAMME\FLASHGET\JCCATCH.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ZUBEHÖR\SPYBOO~1\SDHELPER.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\stimon.exe O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\SYSTEM\hpoopm07.exe O4 - HKLM\..\RunServices: [nisserv] C:\Programme\Norton Internet Security\NISSERV.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE O4 - Startup: HPAiODevice.lnk = C:\Programme\Hewlett-Packard\HP OfficeJet G Series\bin\hpodev07.exe O4 - Startup: PlexTools.lnk = C:\Programme\Plextor\PlexTool.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: FRITZ!fon.lnk = C:\Programme\Fritz\FriFon32.exe O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_link.htm O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRAMME\FLASHGET\jc_all.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRAMME\FLASHGET\JETCAR.EXE O12 - Plugin for .pl/010110A/ZHh4fDYjI3t7eyJoa3Z+fyJoaSNlYnhpfmIjPjw8PSNlYnhpfmJTOSJ8aGo=: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {22D6F312-B0F6-11D0-94AB-0080C74C7E95} (Windows Media Player) - http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.237.150.225,217.237.150.141 |
Zitat:
Wenn Du schon den IE nicht updaten lassen willst, solltest Du wenigstens einen Alternativbrowser (Firefox, Opera) verwenden. Ich empfehle Dir aber dringends den IE upzudaten. |
Hallo, ich hoffe mal, dass ich alles richtig gemacht habe. Ich habe die Datei bei VirusTotal ausgewählt und sie dann gesendet. Im Anschluss wurde ein Bericht angezeigt. Bericht: STATUS: SCANNINGFile "nppdf32.dll" received on 10.30.2006 at 10:17:58 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated. Antivirus Version Update Result AntiVir 7.2.0.34 10.30.2006 no virus found Authentium 4.93.8 10.30.2006 no virus found Avast 4.7.892.0 10.27.2006 no virus found AVG 386 10.27.2006 no virus found Aditional Information File size: 103312 bytes MD5: 12179617805161ee22ceef37699ee4e6 SHA1: 7ef910275de5dafadf299a321951e232d355db73 VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees about the availability and continuity of this service. Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file. Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and malware. Die Datei gehört anscheinend zum Acrobat Reader? PS Blacklight folfg! |
BlackLight scheint bei Windows 98SE nicht zu laufen. |
Hm, okay, das hätte ich auch per Google-Suche sehen müssen, dass die wohl vom Acrobat stammt. Trotzdem solltest Du Windows und besonders den IE auf dem aktuellen Stand halten, aber zum Surfen einen Alternativbrowser verwenden. Besuche also die Windows-Updateseite und spiele alle vorgeschlagenen Updates ein. Evtl. muss vorher der IE6 eingespielt werden, mach das und starte erneut das Windows-Update, bis keine weiteren Updates mehr angeboten werden. Mach aber vorher einen ausführlichen Check mit eScan, siehe Signatur. |
Ach herje, dass ist jetzt ja schade. Hatte ich doch fast gehofft, dass Ihr hier endlich mein Problem gefunden hattet. Ich suche ja schon eine Weile nach der Ursache - klar, man müllt ja schließlich nicht gleich "irgendwelche" Foren voll. Na jedenfalls habe ich den eScan schon länger - auch mit einer neuen Definition. Der hat auch nix gefunden. Das mit dem Up-Date dürfte sich schwierig erweisen. Also sicher ist mal, dass meinem BS noch so einiges fehlen wird. ABER die bei MS haben den Support für Win98 erst gerade vor kurzem eingestellt. Das heißt, die Up-Date Funktion läuft nicht mehr. Ich wollte vor kurzem (schon ein bis drei Monate oder so) mein Windows updaten, von daher weiß ich das so genau. Jetzt kann man nur noch manuel suchen. Da findet man aber vieles, was man sich dann erst mal genauer anschauen muss. |
Und wo ist das Log vom Blacklight, wie Cosinus Dir angeraten hat? Liest Du die Antworten, die Du bekommst? |
@Bell1: Updates zu Win98 findest Du hier... Der IE6 läuft m.W. auch unter Win98. Zumindest den solltest Du aufspielen, aber zum normalen Surfen Firefox oder Opera verwenden. Support eingestellt heißt doch "nur", dass keine weiteren Patches für Win98 mehr herausgebracht werden, aber die vorhandenen Updates lassen sich nat. problemlos einspielen. ;) Vllt. solltest Du aber mal in absehbarer Zeit auf ein moderneres OS umsteigen, es muss ja nicht Windows sein. Für einigermaßen angenehmes Arbeiten ist dann aber auch neue Hardware fällig, da muss es aber auch nicht gleich Highend sein. @felix: Blacklight läuft lt. Bell's Aussage nicht unter Win98. :confused: |
Zitat:
@Bell1 Lasse mal Ewido laufen: Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:03 Uhr. |
Copyright ©2000-2024, Trojaner-Board