Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   W98 IE6, Netzwerkkennwort eingeben (https://www.trojaner-board.de/690-w98-ie6-netzwerkkennwort-eingeben.html)

fppdis2a 09.06.2004 08:51
Hallo,

leider ist mir kein besserer Betreff eingefallen...

Auf einem PC (nicht meiner, ich kann also nicht sagen, seit welchem Ereignis das Problem aufritt) passiert folgendes:

Bei der Eingabe jeder URL wird ein Dialogfenster eingeblendet in welchem ich zur Eingabe eines Kennworts aufgefordert werde. Zusätzlich steht noch dran:

Site: 217.160.188.141
Bereich: By Invitation Only

Wenn ich auf Abbrechen klicke komme ich zur ursprünglich eingegebenen Seite, bei OK kommt dieses Dialogfenster wieder.

Der erste Versuch: Die hosts anschauen, Pech gehabt, die gibt es nicht. Ich habe eine hosts auf den PC kopiert, keine Änderung.

Dann Ad-Aware, Spybot-Search &Destroy 1.3 und CWS Shredder, alles ohne Erfolg.

HiJack This hat dann folgendes gefunden:


O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

[ .....]

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = xyz.de

Das komplette Protokoll hänge ich unten nochmals an.

Da ich in zeitdruck war habe ich
die vier Einträge oben deaktiviert und danach trat das Problem nicht mehr auf. Leider weiss ich jetzt nicht, was dafür verantwortlich war und ob ich das Problem gelöst habe, oder ob noch was auf dem Rechner ist, was da nicht hingehört

Achso, Ein aktuelles AntiVir hat auch nichts gefunden und alle Windows Upates wurden auch eingespielt.

Was kann ich noch tun?

Danke

G.


Logfile of HijackThis v1.97.7
Scan saved at 11:59:33, on 08.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\ANDY\HJT.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = sophie.de

neptune 09.06.2004 10:10
hallo.. also die o16 einträge waren jedenfalls nicht schuld.. die sind nicht böse.. aber in deinem log sieht einiges fragwürdig aus..

Shadow 09.06.2004 10:15
O17 war es!

Was allerdings hinter der sophie.de (wer sagt denic) steckt, weiß ich nicht.
die IP ist auch die IP von sophie.de

domain: sophie.de
descr: Wolf Konrad
descr: Julia GmbH
descr: Hermann-Wirth-Str.1
descr: 74855 Hassmersheim

=> auch Julia.de, internet-service.info

alles etwas seltsam, entweder Passwortgeschützt oder ohne Aussage des wirklichen Geschäftsinhaltes
Aber ich bin ja nicht Shadow Holmes also 017 weg und es sollte(!) weg sein.
Allerdings ist die GROSSE Frage wie kam es dahin?

[ 09. Juni 2004, 11:24: Beitrag editiert von: Shadow ]

fppdis2a 09.06.2004 10:22
sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17?

Vielen Dank für die Antworten

neptune 09.06.2004 10:27
hier mal schaun: http://www.trojaner-board.de/51130-a...ijackthis.html

Shadow 09.06.2004 10:30
</font><blockquote>Zitat:</font><hr />Original erstellt von fppdis2a:
sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17?</font>[/QUOTE]Dieser 017-Eintrag entspricht (im legalen Fall) entweder einem Eintrag Deines ISPs oder der Domäne Deines lokalen Netzwerkes.

War der PC früher bei der Domäne sophie.de integriert, ist der Eintrag legal gewesen.

Was macht die Julia GmbH?
Domainparking?

Edit:
Neptune war schneller, werde mal Poseidon rufen müssen ;)

fppdis2a 09.06.2004 13:44
&gt; War der PC früher bei der Domäne sophie.de
&gt; integriert, ist der Eintrag legal gewesen.

Der war da mal drin. Allerdings schon lange nicht mehr.

Ich fürchte, ich muss mir die Kiste nochmal vornehmen. Ich werde dann mit genaueren Fragen wieder hier erscheinen :)

Am besten, ich schalte die vier Werte einzeln wieder ein und überprüfe, ob das Phänomen wieder auftritt. Wird den Besitzer des PCs nicht gerade freuen...

&gt; Was macht die Julia GmbH?
&gt; Domainparking?

Keine Ahnung. War die Frage an mich gerichtet? Die Domain Sophie hiess damals so, weil eine frisch eingetroffene Nichte diesen Namen trug, mit Julia habe ich nichts am Hut (obwohl ich auch eine Nichte namens Julia habe:)

Danke

G.

Olo 10.06.2004 11:52
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe </font>[/QUOTE]imho die einzigen fragwürdigen einträge die in dem log nichts zu suchen haben

hab allerdings nicht alle exen genau auf den pfad überprüft

die einträge fixen + exen scannen + infiziertes löschen


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131