Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Probleme beim Hochfahren (https://www.trojaner-board.de/36190-probleme-beim-hochfahren.html)

DONE 10.02.2007 18:23
Probleme beim Hochfahren
 
Hi,
Ich hab' irgendwie seit kurzem Probleme beim Hochfahren meines Computers (Win98 SE). Er will immer einen Deep-scandisc durchführen. Wenn ich es zulasse habe ich nach zwei mal starten das gleiche Problem. Desweiteren läuft das System relativ instabil.
(Internet-Seiten bauen sich aber normal auf.)

E-scan hat mir folgendes geliefert:
medload adware, kraze.b virus, powerreg scheduler, smitfruad und spylax
das liest sich dann so :

"Fri Feb 09 17:46:05 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\media-motor.net !!!
Fri Feb 09 17:46:05 2007 => Object "medload Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 09 17:46:06 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Setup\OptionalComponents\winpopup !!!
Fri Feb 09 17:46:06 2007 => Object "winpopup Spyware/Adware" found in File System! Action Taken: No Action Taken.

Fri Feb 09 17:46:07 2007 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\Run: scanregistry !!!
Fri Feb 09 17:46:07 2007 => Object "kraze.b Virus" found in File System! Action Taken: No Action Taken.

Fri Feb 09 17:46:10 2007 => Offending file found: C:\WINDOWS\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
Fri Feb 09 17:46:10 2007 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.

Fri Feb 09 17:46:10 2007 => Offending file found: C:\WINDOWS\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Fri Feb 09 17:46:10 2007 => System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)! Action taken: No Action Taken.

Fri Feb 09 17:46:13 2007 => Offending Folder found: C:\WINDOWS\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
Fri Feb 09 17:46:13 2007 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.

Fri Feb 09 17:46:20 2007 => Offending file found: C:\WINDOWS\unvise32.exe
Fri Feb 09 17:46:20 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: No Action Taken.

Fri Feb 09 18:07:01 2007 => File C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS4574B9B383144C0F88634796CC739CEF_2_0_2_1.MSI tagged as "not-a-virus:AdWare.Win32.Altnet.o". Action Taken: No Action Taken."

die "unvise32.exe" sowie "C:\WINDOWS\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024" hab ich bei jotti testen lassen.
Beide wurden negativ getestet.
Bei dem medload bzw. media-motor.de glaube ich dass escan etwas verwechselt bzgl. der Immunisierung durch Spybot.

Aber letztlich bin ich mir nicht sicher ihr könnt das sicher besser einschätzen.

mein hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 18:11:27, on 10.02.07
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON CLEANSWEEP\CSINJECT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SYMTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLDIAL.EXE
C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOTDD01.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOHMR08.EXE
C:\PROGRAMME\AOL 9.0\AOLTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOEVM08.EXE
C:\PROGRAMME\HEWLETT-PACKARD\DIGITAL IMAGING\BIN\HPOSTS08.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OPERA\OPERA.EXE
C:\PROGRAMME\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\AOL 9.0\WAOL.EXE
C:\PROGRAMME\AOL 9.0\SHELLMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\AOLTPSPD.EXE
C:\UNZIPPED\HIJACKTHIS\HJT1991.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de/e60/suche/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/e60/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de/e60/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [CSINJECT.EXE] C:\Programme\Norton SystemWorks\Norton CleanSweep\CSINJECT.EXE
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\nprotect.exe
O4 - HKLM\..\RunServices: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe "Norton SystemWorks"
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "C:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB918547] C:\WINDOWS\SYSTEM\KB918547\KB918547.EXE
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Startup: hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_06\BIN\SSV.DLL
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1\TRASH.EXE (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e60/
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = aoldsl.net


Wär' nett wenn mir jemand helfen könnte, die escan-Meldungen richtig einzuschätzen.

Danke schon mal,
Done
PS: Adaware und Spybot (beide upgedatet) behaupten mein System wäre sauber.

DONE 11.02.2007 19:53
Hi, also nach meiner bisherigen Recherche ist der smitfraud wohl auch eine Fehlmeldung. Nur leider ist hinzugekommen dass adaware nun was von "corrupted definition files" meldet.
Kann man da was aus meinen Informationen erkennen.
Ist die Meldung von kraze.b echt?

Beste Grüße,
DONE

undoreal 12.02.2007 13:29
Hallo.

Na das ist ja ein schoenes Durcheinander.

" C:\WINDOWS\SYSTEM\mmtask.tsk "
" C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS4574B9B383144C0F88634796CC739CEF_2_0_2_1 .MSI "
lade diese Dateien bei VIRUSTOTAL - Free Online Virus and Malware Scan hoch und poste den kompletten Bericht mit allen Angaben (Groesse, HASH)

Es ist schon richtig das der eScan teilweise Fehlermeldungen ausspuckt.

Zu den beschaedigten Definitions Dateien: Zieh dir manuell aus dem Netz die aktuellen DefFiles und kopiere sie in das AdAware Verzeichnis; Anleitung solltest du auf der Page finden.

Hast du eigentlich keinen "normalen Virenscanner" installiert. Den W32/Kraze-B sollte ein solcher naemlich finden.

Gruss und viel Erfolg

DONE 12.02.2007 16:53
Danke für die Antwort undoreal!

1. "C:\WINDOWS\SYSTEM\mmtask.tsk "
AntiVir 7.3.1.36 02.12.2007 no virus found
Authentium 4.93.8 02.12.2007 no virus found
Avast 4.7.936.0 02.12.2007 no virus found
AVG 386 02.11.2007 no virus found
BitDefender 7.2 02.12.2007 no virus found
CAT-QuickHeal 9.00 02.12.2007 no virus found
ClamAV devel-20060426 02.12.2007 no virus found
DrWeb 4.33 02.12.2007 no virus found
eSafe 7.0.14.0 02.12.2007 no virus found
eTrust-Vet 30.4.3391 02.12.2007 no virus found
Ewido 4.0 02.11.2007 no virus found
Fortinet 2.85.0.0 02.12.2007 no virus found
F-Prot 4.2.1.29 02.12.2007 no virus found
F-Secure 6.70.13030.0 02.12.2007 no virus found
Ikarus T3.1.0.31 02.12.2007 no virus found
Kaspersky 4.0.2.24 02.12.2007 no virus found
McAfee 4960 02.09.2007 no virus found
Microsoft 1.2204 02.12.2007 no virus found
NOD32v2 2055 02.12.2007 no virus found
Norman 5.80.02 02.12.2007 no virus found
Panda 9.0.0.4 02.12.2007 no virus found
Prevx1 V2 02.12.2007 no virus found
Sophos 4.13.0 02.12.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.12.2007 no virus found
TheHacker 6.1.6.056 02.11.2007 no virus found
UNA 1.83 02.09.2007 no virus found
VBA32 3.11.2 02.11.2007 no virus found
VirusBuster 4.3.19:9 02.12.2007 no virus found

Aditional Information
File size: 1184 bytes
MD5: 38bae36e67c8b1ae3abc077837953b89
SHA1: 013a53ed7a0b095a564d7499c28ccfff84a0610c



2. "C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WIS4574B9B383144C0F88634796CC739CEF_2_0_2_1 .MSI"
AntiVir 7.3.1.36 02.12.2007 no virus found
Authentium 4.93.8 02.12.2007 no virus found
Avast 4.7.936.0 02.12.2007 Win32:Spyware-gen.
AVG 386 02.12.2007 no virus found
BitDefender 7.2 02.12.2007 Application.Topsearch.B
CAT-QuickHeal 9.00 02.12.2007 no virus found
ClamAV devel-20060426 02.12.2007 no virus found
DrWeb 4.33 02.12.2007 no virus found
eSafe 7.0.14.0 02.12.2007 no virus found
eTrust-Vet 30.4.3391 02.12.2007 no virus found
Ewido 4.0 02.11.2007 no virus found
Fortinet 2.85.0.0 02.12.2007 no virus found
F-Prot 4.2.1.29 02.12.2007 no virus found
F-Secure 6.70.13030.0 02.12.2007 no virus found
Ikarus T3.1.0.31 02.12.2007 no virus found
Kaspersky 4.0.2.24 02.12.2007 not-a-virus:AdWare.Win32.Altnet.o
McAfee 4960 02.09.2007 no virus found
Microsoft 1.2204 02.12.2007 Altnet (threat-c)
NOD32v2 2055 02.12.2007 no virus found
Norman 5.80.02 02.12.2007 no virus found
Panda 9.0.0.4 02.12.2007 Application/Altnet
Prevx1 V2 02.12.2007 no virus found
Sophos 4.13.0 02.12.2007 no virus found
Sunbelt 2.2.907.0 02.09.2007 no virus found
Symantec 10 02.12.2007 Adware.Topsearch
TheHacker 6.1.6.056 02.11.2007 no virus found
UNA 1.83 02.09.2007 Adware.Altnet.2C54
VBA32 3.11.2 02.11.2007 Adware.Altnet
VirusBuster 4.3.19:9 02.12.2007 no virus found

Aditional Information
File size: 2837504 bytes
MD5: 3d558acfd56909ad91d82cdcc2d05f13
SHA1: 8f9780de232bd44bcd0ab5c39fe5d48d773b6c60
packers: PEX

[2. Ist angeblich seit dem 20.04.03 auf meinem System...
kaum zu glauben :pfui:.
(Topsearch.dll; asm.exe; asmps.dll; Points Manager.exe;
die finden sich nicht auf meinem system also wird er sich wohl nicht installiert haben...
http://www.symantec.com/security_res...0415-0053-99)] )

Bzgl. kraze.b: Ich hab keinen normalen Antivirenscanner auf dem Rechner.
nur escan, spybot und adaware.
Die Dateien die kraze.b laut sophos installiert, finde ich allerdings nicht in meinem System, daher hatte ich gehofft, dass es sich um eine Fehlmeldung handelt. Ausserdem wäre es denn mit einer einem simplen fixen getan?
Ich meine angeblich (sophos) lädt kraze.b schadcode nach...

Spylax scheint auch ne Fehlmeldung zu sein.
Die Symptome die in
http://www.symantec.com/security_res...54-99&tabid=2? beschrieben werden habe ich nicht...

Beste Grüße,
Done

undoreal 12.02.2007 18:21
Halloele.

Schoen, dass du eigen Arbeit leistest.. >)

So, ich glaub auch, dass sich Luemmel Nummer 2 nicht installirt hat. Also:

Download KillBox (Pocket Killbox) hier rein mit ihm und delet on reboot sollte es eigentlich tun.

Einen Virenscanner solltest du dir meiner Meinung nach anschaffen.

Anti Vir gibts gratis. Wenn du dir was gutes besorgen moechtest dann teste mal kav AntiVirus : Test-Versionen

Die Trial kannst du 30 Tage testen. Am Besten auf hoechsten Sicherheitseinstellung durchlaufen lassen. Danach ist dein System wenigsten sauber und wenns dir gefaellt wuerde ich es kaufen.

Dann zu kraze. Ich glaube es ist keine Fehlermeldung.

Also entweder du laesst Kav drueber schauen oder das hier:

F-Secure Support pages: F-Secure Online Virus Scanner

und das: F-Secure Blacklight > F-Secure Blacklight

Ich glaube das tuts fuer den Moment.

Viel Erfolg.

DONE 13.02.2007 16:38
Danke dir!

Werd deine Anweisungen befolgen. Wenn die Antivirensoftware kraze.b
nicht findet meld ich mich nochmal...

Grüße,
DONE


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:24 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131