|
unbekannter TRojaner :pfui: Hallo, habe hier in diesem Forum schon oft gelesen, aber noch nie gepostet. In der Hoffnung, dass mir jemand weiterhelfen kann...unter der Berücksichtigung dass ich über Grundkenntnisse verfüge...folgendes: verwende Win98SE... Seitdem sich mein Sohn vor ein paar Tagen mit dem IE6 aus dem Netz verabschiedet hat, kommt kein Seitenaufbau mehr zustande...er hat danach Antivir PE laufen lassen und ist seinen Angaben zufolge fündig geworden... AVPE habe einen TR und 2 Worms gefunden, die er gelöscht habe, aber scneinbar ist das Problem damit nicht gelöst... ich kann den IE6 nicht reparieren, da "Deinstallationsdateien defekt" Mozilla 1.7.3 und Firefox laufen... kann aber keine passwortgeschützten Seiten wie www....db.24.de, ebay.de, yahoo.de ...pp. aufrufen... habe auf der Platte keine Passwörter gespeichert... Habe heute "escan" laufen lassen, der folgende Virus Log-Informationen ausspuckt: 1. FileC:\WINDOWS\COMMAND\EBD\EBD.CAB.tagged as not-a-virus:Tool.DOS.Restart.No Action Taken 2. FileC:\WINDOWS\Temporary Internetfiles\Content.\IE5\WX8ZKFSV\tm47284[1].jp.........-....infacted by "BKCln.unknown"Vimp.Action Taken.File Renamed 3. FileC:\WINDOWS\WindowsUpdate Setup-Dateien\ymsgrde.exe tagged as not-a-virus:Tool.Win32.Reboot.No Action Taken 4. FileC:\Eigene Dateien\hooversw.exe infacted by "not-a-virus:AdvWare.SaveNow.e"Virus.Action Taken: File Renamed 5.FileC:\Eigene Dateien\Exen\DivXPro51Adware.exe infacted by"not-a-virus:AdvWare.exe.Gator"Virus.Action Taken: File Renamed 6. FileD:\Win98o2\EBD.Cab tagged as not-a-virus:Tool.DOS.Restart.No Action Taken 7. FileD:\Programme\rollup.exe tagged as not-a-virus:Tool.Win32 Reboot.No Action taken Hoffe, dass ihr mit diesen Infos etwas anfangen könnt...und frage mal als "Dummer"...weiss heisst eigentlich "fixen"??? ...bin mir zeimlich sicher, dass es sich um einen TR aus der "Tofger"-Gemeinde handelt, da wir dieses Prob schon einmal hatten und ich danach die Platte formatiert habe ... Habe auch das Hijack-Tool laufen lassen...aber das findet auch nix!! lieben Gruss... :heulen: |
@Tom59 fixen heißt bei HJT, nach den scannen, den einträge aussuchen, häkchen setzen, fix cheked drücken. vorher bitte in den abgesicherten modus starten. anbei http://www.pestpatrol.com/pestinfo/t...n32_reboot.asp hast du escan auch in den abgesicherten modus laufen lassen? chaosman :D |
Hallo chaosman... habe gestern einen online-check mit der hijack-software gemacht und habe sie nicht ...mehr...auf der Platte..aber danke für den Tip...werde es nochmal versuchen...bin leider der englischen Sprache in diesem Bereich nicht sehr mächtig!! :) ...also den PC beim Start mit F..8 (??) vergewal...??? lg... :party: ...ernstgemeint!! :kloppen: |
Hallo Tom59, wie Du in den abgesicherten Modus kommst, kannst Du diesem Link entnehmen. Hattest Du den eScan im abgesicherten Modus laufen lassen? Erstelle bitte ein Logfile mit Hijack This: http://www.trojaner-board.de/51130-a...ijackthis.html und poste es (copy&paste). SD |
Hallo Shadowdance...und diie anderen hier... poste dir im folgenden mal den logfile von Hijackthis... Logfile of HijackThis v1.98.2 Scan saved at 18:05:02, on 01.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm ...in der Hoffnung, dass ihr mir beim fixen Ratschläge geben könnt... lieben Gruss Tom |
das sieht ok aus aber das sind ein bisschen wenig programme! hast du HJT im abgesicherten modus oder im normalen scannen lassen? |
Das ist sicher nicht ok: O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe Aber poste erst mal ein komplettes Logfile aus dem normalen Modus. |
Hallo... habe den scan im abgesicherten Modus ersellt, poste gleich mal einen scan im Normalmodus...mom Tom |
Hallo... hier ist der scan im Normalmodus... Logfile of HijackThis v1.98.2 Scan saved at 21:07:11, on 01.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\MOZILLA1.7.2\MOZILLA.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\HPZSTC04.EXE C:\WINDOWS\SYSTEM\HPZSTATX.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm lieben Gruß Tom |
@tom59 dein log sieht sauber aus, dies könntest du fixen in abgesicherten modus O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm nicht fixen treiber von ATI(glaube ich), hat irgendwas mit DSL zu tun, benützt du DSL? O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe chaosman |
@chaosman... ich danke dir erstmal für die Tipps und werde jetzt deine Vorschläge fixen... ..."9xadiras.exe" ist DSL...bis dann Tom |
@Mountainking... die "adiras.exe" ist sehr wohl oki. ohne die geht DSL nicht...trotzdem... lieben Gruss Tom |
@chaosman... danke dir...habe dein Vorschläge gefixt...bin hier jetzt momentan mit IE6...bekomme aber nach wie vor ...deutsche bank...ebay...und yahoo-mail...nicht auf... :confused: lg...Tom |
@chaosman... IE6 ist mir wieder abgeschmiert, warum weiss nicht..komme auch nicht zu microsoft, um ein s-update zu machen...weder mit IE6 noch mit Mozilla 1.7.2 ......dumm aus der Wäsche schaut... :balla: lg...Tom |
@chaosman... IE6 ist mir wieder abgeschmiert, warum weiss nicht..komme auch nicht zu microsoft, um ein s-update zu machen...weder mit IE6 noch mit Mozilla 1.7.2 ......dumm aus der Wäsche schaut... :balla: lg...Tom |
Hm, ich war mir relativ sicher, dass ich diese Datei schon einige Male als potentiell verseucht gesehen habe, kann aber unter XP gewesen sein. |
@Hallo...sorry..dass ich hier langsam nerve... aber die untere Zeile...http...// ist die Antwort auf die Browsereingabe ..."www.windowsupdate.microsoft.com"... (Eingabe)... "http://v4.windowsupdate.microsoft.com/de/thanks.asp"...(Ausgabe)... mir kommt das irgendwie trojanisch vor...kein Seitenaufbau mit Mozilla 1.7.2... ...vielleicht doch format c:... :schmoll: ...sehe momentan keine anderen Lösungen ... lg...Tom :schmoll: |
Mit dem Mozilla Browser kannst du so keine Updates runterladen, das ist normal. Das funktioniert nur mit dem IE http://v5.windowsupdate.microsoft.co...r/default.aspx ! |
@Hallo... poste jetzt nochmal den log vom letzten scan, den ich gerade im Normalmodus gemacht habe... Logfile of HijackThis v1.98.2 Scan saved at 16:28:02, on 02.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\SBPCI\CTMIX32.EXE C:\WINDOWS\SYSTEM\HPZTSB04.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\NETDDE.EXE C:\WINDOWS\WINHLP32.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.microsoft.com/access/allinone.asp R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE" ...mache jetzt nochmal einen scan im abgesicherten ... Gruß...Tom |
das sieht gut aus! mfg |
noch mal Tom... hier der Scan im abgesicherten Modus... Logfile of HijackThis v1.98.2 Scan saved at 16:40:10, on 02.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\EXPLORER.EXE C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb04.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE" ...übrigens...wenn ich mit Mozilla zu www.db24.de gehen will, müsste im Browsereingabefenster erscheinen "www.deutsche-bank/content...." es erscheint jedoch "www.deutsche-bank/jumppages...", wohl ein eindeutiger Hinweis, daß der Browser gehijackt ist, oder? lg Tom |
Zitat:
Die jumppages verweisen z.B. auf Kunden-Login, Kontoübersicht, Überweisung usw. Sieh dir die Seiteninformation , danach auf Links, mal an. ;) |
@cidre... ich hatte dieses prob schonmal mit einem Plagegeist... wenn ich von anderen Pcs zu www.db24.de gehe, erscheint im Browser ausnahmslos "/content/"... "/jumppages/" ist definitiv nicht oki!!!...so daß ich davon ausgehe, dass versucht wird, den Browser umzuleiten... Der Mist ist nur, ich kann den IE 6 nicht heile machen, da die Deinstallationsdateien defekt sind, auch dieses Problem hatte ich damals... ich meine mich zu erinnern, daß es "TR/Tofger...." war. lg Tom |
Logs brauchst du nur im normalen Modus zu machen, im abgesicherten sind sie weniger aussagekräftig. Auch über die jumppages brauchst du dir keinen Kopf zu machen, das hat nichts mit einem Hijacker zu tun, sondern vielmehr mit den Browsereinstellungen. Manche Seiten brauchen (leider!) bestimmte aktive Inhalte wie Java-Script, sonst werden sie nicht angezeigt. Das wird in Mozilla evtl. deaktiviert sein (was gut ist), aktiviere es für diese Seite dann. In Opera habe ich ohne Java-Script auch nur die weiße Seite mi Jumppages, mit JS gehts dann. |
@Mountainking... danke dir, werde es mal versuchen...was kann ich mit meinem IE6 machen?? die "ie6setupexe" bekomme ich logischerweise nicht aus dem System... Gestern Abend lief er mit den herkömmlichem Einstellungen kurz ganz normal, beim zweiten Aufruf war er wieder platt und konnte keine Seiten anzeigen... lg Tom |
@Mountainking... habe vielleicht ein Java - Problem, aber Java 1.4...ist installiert und aktiviert... lg Tom |
Zitat:
|
@Cidre...der IE6 funzt nachwievor nicht...mit dem Mozilla 1.7.2 geht es auch nicht, obwohl ich ihn offen gemacht habe wie ein Scheunentor!! hatte gedacht, es könnte an Java liegen und habe es nochmal...1.4.2...installiert...aber es klappt nicht... lg Tom :teufel1: |
Es geht aber nicht um Java, ich meine Java-Script. Auf jeden Fall hat diese jumppages-Seite nichts mit einem Browserhijacking zu tun. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 05:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board