|
Hallo zusammen, Problemschilderung und erste Erkenntnisse: Ich hatte mein Problem bereits in dem Thread "Home Search Starsteite lässt sich nicht entfernen" gepostet und wurde dann von Olo darauf hingewiesen, dass man ein Problem und eine Log Datei in einen eigenen Thread schreiben soll. Was ich bislang weiß: Ich habe mir dieses Problem eingefangen welches im Internet Explorer die Startseite auf eine Suchseite ändert, die ich nicht haben will und die ich nciht abstellen kann. Dieser Trojaner oder was auch immer es ist ändert die Registrierung und verweist auf eine dll Datei, mit dem Verweis #96676. Der Name der dll Datei ist wohl bei allen verschieden weil er zufällig erzeugt wird, die Nummer #96676 ist aber bei allen gleich, die dieses Problem haben. Laut "nitro" im Posting "Home Search Starsteite lässt sich nicht entfernen" handelt es sich dabei um den "TrojanDownloader.Win32.WinShow.u". Ein erster HiJack Logfile sah folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 23:12:13, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\msnmsgr.exe C:\WINDOWS\system32\ntvl32.exe C:\Programme\Winamp\Winampa.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\WINDOWS\System32\wudmate.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSuma32.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Starcraft\StarCraft.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\PROGRA~1\Netscape\Netscape\Netscp.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Nach einem ersten Fixing und dem entfernen von "wudmate.exe" sah das Logfile gut aus (die Einträge mit #96676 waren verschwunden. Aber heute nach dem zweiten Neustart sah das Logfile nun wieder folgendermaßen aus: Logfile of HijackThis v1.97.7 Scan saved at 12:49:13, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\system32\ntvl32.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Outlook Express\msimn.exe C:\WINDOWS\System32\MSuma32.exe C:\WINDOWS\System32\msnmsgr.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 Also scheint die Wiederherstellung dieser Einträge nicht mit der exe-Datei "wudmate.exe" zusammenzuhängen die ich entfernt hatte. |
Hallo, </font><blockquote>Zitat:</font><hr />...und wurde dann von Olo darauf hingewiesen, dass man ein Problem und eine Log Datei in einen eigenen Thread schreiben soll... </font>[/QUOTE]Das ist nicht böse gemeint, aber als Helfender kommt man völlig durcheinander, wenn mehrere Betroffene ihre Logs in ein und dem selben Thread posten.. [img]smile.gif[/img] Beende bitte im Taskmanager die folgenden Prozesse: </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\javazf32.exe C:\WINDOWS\system32\ntvl32.exe</font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676 O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe </font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien: </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\cdteq.dll C:\WINDOWS\system32\appfe32.exe C:\WINDOWS\system32\atlpu32.exe </font>[/QUOTE]Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es... Eine englischsprachige Referenz findest du in diesem Forum. |
Und nun einige Fragen, die mich bewegen: 1. Richtet das Ganze irgdeinen Schaden an, wenn ich den Internet Explorer nicht mehr verwende, sondern stattdessen den Netscape Navigator ? 2. Olo hatte in dem oben bereits 2 mal genannten Thread fogendes angemerkt: "MSuma32.exe zum beispiel is bei donstefano und ich wette darum das es malware ist. Was genau ist Malware ? Ein Programm was meine Startseite ändert ? (Habe schon im Forum nach einer Erklärung gesucht aber in mehreren Threads fällt der Begriff ohne Erklärung). 3. Seht ihr in meinem Lofile oben noch andere Einträge, die auf exe. Dateien verweisen, die mein System schädigen könnten ? Was ist z.B. mit SOUNDMAN.EXE, msnmsgr.exe, appfe32.exe oder atlpu32.exe ? 4. Welche exe. Dateien brauche ich auf jeden Fall? Gibt es da eine Art Auflistung oder kann mir jemand eine hierhin schreiben ? 5. In dem bereits mehrfach genannten Thread hat design-Willy in einem US Forum http://www.dslreports.com/forum/rema...8952~mode=flat einen Beitrag von "rrlover" gefunden, der mit einem Tool namens "Trojan Cleaner" angeblich den Wurm im abgesichertern Modus entfernen konnte. Ich verstehe leider weder dieses Postin richtig noch kann ich dieses Toll finden. Hat dazu jemand eine Idee ? Vielen Dank für eure Hilfe. |
Hallo Lutz, ich hatte das auch nicht als böse gemeint aufgefasst. Und du hast schneller geantwortet als die Polizei erlaubt ;) (noch während ich meine eigentlich Fragen formuliert habe). Ich werde deine Ratschläge nun erst einmal berücksichtigen und ausprobieren und mich dann später wieder melden. Vielen Dank erst einmal!! |
Zu den "erlaubten" Prozessen kann ich Dir folgenden Link empfehlen: http://www.reger24.de/processes.php Diese Liste hat mir auch geholfen, wenn ich unsicher war, was ich evtl. raushauen kann... |
also hab nochmal was rausgefunden und zwar wenn man den abgesicherten modus startet kann man die startseite umstellen und sie ändert sich auch nicht mehr um... bis man wieder normal bootet ->> es muss doch etwas bei windows mitgeladen werden, das das verursacht oder täusche ich mich da ? die startseit auf die immer geändert wird enthält in der adresse immer eine .dll datei. Man gehe auf http://www.kaspersky.com/scanforvirus stellt diese .dll da ein und lässt sie scannen. Resultat : TrojanDownloader.Win32.WinShow.u ich habe mir das scan prog kaspersky (trial) runter geladen und im sicheren modus gescannt. Es wurden 40 infektionen gefunden. 40 weil die .dlls sich ja bekanntlich umbennen und neue erstellt nach ner zeit. das prog hat alles säuberlich gefixt und gelöscht aber nach wie vor es kam wieder. deshalb tippe ich auf eine sicherheitslücke wobei ich mir nartürlich nicht sicher bin. KLEINER NACHTRAG VIELLEICHT GANZ INTERESSANT ! GUCKT MAL HIER http://de.trendmicro-europe.com/ente...DW_SEARCHAID.A DA STEHT ZU WELCHER GRUPPE DER VIRUS GEHÖRT cYa nitro |
Da mach ich doch grad mal ein Doppelpost könnte wichtig sein ! wenn ihr das alles macht ist es sau wichtig die systemwiederherstellung auszuschalten !!! und schaut mal hier evtl die lösung ^^ diese nummer #96676 stimmt zwar nicht überein abder da ist das selbe wie wir alle haben. und nochmals SYSTEMWIEDERHERSTELLUNG AUSMACHEN !!! ^^ so los probieren jungs [img]smile.gif[/img] |
@ Lutz: Ich habe deine Vorgehensweise mal berücksichtigt und es hat dann auch für eine Stunde funktioniert. Nach dem zweiten oder dritten Neustart ist das Problem aber wieder da - nur dass nun die dll einen anderen Namen hat. Hätte ich denn auch im abgesicherten Modus bzw. Vorher die Systemwiederherstellung ausschalten müssen ? Hier noch mal das aktuelle Logfileergebnis: Logfile of HijackThis v1.97.7 Scan saved at 14:37:55, on 17.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\WINDOWS\system32\javazf32.exe C:\WINDOWS\system32\ntvl32.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\MSuma32.exe C:\WINDOWS\System32\msnmsgr.exe C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Netscape\Netscape\Netscp.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Anwendungen\Scanner und Viren\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yexjv.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yexjv.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yexjv.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yexjv.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yexjv.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yexjv.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {19313A03-FF80-F8F6-1CA0-41EB510809FD} - C:\WINDOWS\system32\creq32.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\Run: [msn] msnmsgr.exe O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe O4 - HKLM\..\RunServices: [msn] msnmsgr.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe O4 - HKCU\..\Run: [msn] msnmsgr.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo O4 - HKLM\..\RunOnce: [javazf32.exe] C:\WINDOWS\system32\javazf32.exe O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Messenger (HKLM) O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/ O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83 Bin doch recht entmutigt langsam muss ich zugeben :-((( Und wieso habe ich jetzt Mozilla einträge drin, wo ich das doch gar nciht habe ? Liegt das an den letzten XP Updates die ich mir gerade noch mal heruntergezogen habe ? |
probiert das gesamte bitte nochmal ohne systemwiederherstellung @ xp user den IE nur zum windowsupdaten und online scans benutzen für alles andere einen alternativ browser dann mal den trendmicro scan laufen lassen die scheinen ja die signatur zu dieser malware zu haben und da waern wir wieder bei malware: das sind programmer scripts o.ä. die vom user nicht gewünscht sind und schaden anrichten (können) darunter fallen viren trojaner würmer hijacker usw... </font><blockquote>Zitat:</font><hr />3. Seht ihr in meinem Lofile oben noch andere Einträge, die auf exe. Dateien verweisen, die mein System schädigen könnten ? </font>[/QUOTE]grundsätzlich (wie oft sag ich das eingeltich noch ..^^) gilt das jede exe malware sein kann allerdings kannst du davon ausgehen das wenn du eine exe im systemordner hast und diese niemandem bekannt ist und auch unter google keinen einzigen eintrag ergibt mit hoher wahrscheinlichkeit malware ist die gängisten prozesse lassen sich wie oben beschieben auf bestimmten seiten finden allerdings musst du auch da aufpassen, da svchost.exe zum bsp ein system prozess ist svshost.exe aber malware wenn du dir nicht sicher bist die datei scannen lassen |
Hallo Olo, Lutz und auch alle anderen. Nochmals danke: Ich resumiere noch einmal an dieser Stelle: Ich lasse also die exe Dateien von denen ich nicht weiß ob sie Malware sind oder nicht bei http://www.kaspersky.com/scanforvirus scannen und entferne sie dann ggf. Und welches Tool von "trendmicro" muss ich benutzen und wo genau kann ich mir den "trendmicro scan" herunterladen? Auf deren Seite sind unter Produkte zig Programme aufgelistet. Was brauche ich und wie muss ich vorgehen ? Ich verliere etwas den Überblick, da ich in den letzten 2-3 Tagen soviele neue Programme und Scans benutzt habe wie noch nie in meinem Leben (hab erst seit letztem Samstag einen XP Rechner). |
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\MSuma32.exe und [msn] msnmsgr.exe</font>[/QUOTE]Diese Dateien erscheinen mir zunehmend verdächtig. Bitte auch bei Kaspersky scannen oder gleich eScan im abgesicherten Modusdes Rechners einsetzen (s. Signatur). Bitte auch in der Registry nach diesen Dateien suchen und nach den im Log genanannten DLL's. Auch eine Suche in der Registry nach #96676 kann zumindest nicht schaden. Wenn passende Werte in der Registry gefunden werden, diese löschen. Achtung: Ich empfehle bei jedem Eingriff in die Registry vorher ein Backup davon zu machen. Gruß, Lutz Anwender von XP und ME sollten zunächst die Systemwiederherstellung deaktivieren. Nachtrag: Kannst Du mal schauen, ob Du im Taskmanager diesen (oder einen ähnlichen) Prozess findest: __NS_SERVICE_3? [ 17. Juni 2004, 17:09: Beitrag editiert von: Lutz@Work ] |
Hallo, die Dateien C:\WINDOWS\System32\MSuma32.exe und [msn] msnmsgr.exe erscheinen mir auch verdächtig. Und hat C:\WINDOWS\system32\lsass.exe etwas mit Sasser zu tun oder ähnlichem ? Wie mache ich denn eine Sicherungskopie der Registirerung ? Einfach regedit kopieren und unter anderem Namen abspeichern ? Einen Prozess namens Prozess findest: __NS_SERVICE_3 oder ähnlich kann ich nicht finden, nur "services.exe". Ich werde dies alles morgen ausprobieren - komme heute leider nicht mehr dazu und meine Erfahrungen ausführlich berichten. Weiß noch jemand welches Tool von "trendmicro" ich benutzen muss und wo genau ich mir den "trendmicro scan" herunterladen kann ? |
</font><blockquote>Zitat:</font><hr />Original erstellt von DonStefano: Und hat C:\WINDOWS\system32\lsass.exe etwas mit Sasser zu tun oder ähnlichem ?</font>[/QUOTE]Nicht in dem Sinne, den Du vermutlich meinst. lsass.exe ist ein 'normaler' Prozess von WinXP wurde aber von Sasser angegriffen. </font><blockquote>Zitat:</font><hr />Wie mache ich denn eine Sicherungskopie der Registirerung ? Einfach regedit kopieren und unter anderem Namen abspeichern ?</font>[/QUOTE]Start-> Ausführen-> regedit eintippen und [Enter)-> es öffnet sich der Regitrierungseditor dort Datei-> Exportieren. Unter Dateiname einen leicht zu merkenden Namen eingeben und bei 'Exportbereich' alles markieren. </font><blockquote>Zitat:</font><hr />Einen Prozess namens Prozess findest: __NS_SERVICE_3 oder ähnlich kann ich nicht finden, nur "services.exe".</font>[/QUOTE]Dann wissen wir 'leider' das. Services.exe ist ebenfalls ein normaler XP-Prozess </font><blockquote>Zitat:</font><hr />Weiß noch jemand welches Tool von "trendmicro" ich benutzen muss und wo genau ich mir den "trendmicro scan" herunterladen kann ? </font>[/QUOTE]Da ist der OnlineScanner mit gemeint: http://housecall.trendmicro.com/hous...start_corp.asp Da dieser aber -wie der Name schon sagt- nur online funktioniert und mit dem InternetExplorer funktioniert tendiere ich in Deinem Fall zu eScan. Den kannst Du herunterladen und dann im abgesicherten Modus von XP laufen lassen. Lutz |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:21 Uhr. |
Copyright ©2000-2024, Trojaner-Board