Bitte mal einen Blick drauf werfen

Stephen · 30.12.2004, 21:36

Vor knapp einer Woche hat ein Virus meinen Antivirus überwunden. Seitdem plagt mich eine falsche Startseite. Die üblichen Programme konnten bislang nichts ausrichten. eScan gibt mir einen Trojaner in der VLD1306.DLL und in der NINC.DLL an. Auch das automatisch Hijack Prog markiert mir diese Punkte. Kann ich die einfach löschen, oder gehen damit auch wichtige Daten verloren?
Zur Sicherheit hier mal das komplette hijack.log.
Wäre nett, wenn sich das mal jemand anschauen könnte.

Gruß
Stephen

Logfile of HijackThis v1.99.0
Scan saved at 21:24:46, on 30.12.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\ESSOLO.EXE
C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAM FILES\INTERMUTE\SPYSUBTRACT\SPYSUB.EXE
C:\WINDOWS\TEMP\ICSUPP95.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\KBDTRAY.EXE
C:\PROGRAMME\OPERA75\OPERA.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\SOPHOS1204\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.1und1.com/b1redirect
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-71766C641306} - C:\WINDOWS\SYSTEM\VLD1306.DLL
O2 - BHO: (no name) - {B2653121-5485-11D9-AF62-A51503E72669} - C:\WINDOWS\SYSTEM\NINC.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\Windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\Windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [ESSOLO] ESSOLO.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InterCheckMonitor] "C:\PROGRAMME\SOPHOS SWEEP\ICMON.EXE" -minimised
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [Sweep95] C:\Programme\Sophos SWEEP\ICLOAD95.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: InControl Desktop Manager.lnk.disabled
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F6} (Flatcast Viewer 4.9) - http://www.1mal1.com/flatcast/NpFv49.dll
O18 - Filter: text/html - {BECE6102-5A9A-11D9-AF62-9D29BBA9EF04} - C:\WINDOWS\SYSTEM\NINC.DLL
O18 - Filter: text/plain - {BECE6102-5A9A-11D9-AF62-9D29BBA9EF04} - C:\WINDOWS\SYSTEM\NINC.DLL

Cidre · 30.12.2004, 22:06

Zitat:

Kann ich die einfach löschen, oder gehen damit auch wichtige Daten verloren?

Ja, lösche die Dateien wie folgt ->

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-71766C641306} - C:\WINDOWS\SYSTEM\VLD1306.DLL
O2 - BHO: (no name) - {B2653121-5485-11D9-AF62-A51503E72669} - C:\WINDOWS\SYSTEM\NINC.DLL
O18 - Filter: text/html - {BECE6102-5A9A-11D9-AF62-9D29BBA9EF04} - C:\WINDOWS\SYSTEM\NINC.DLL
O18 - Filter: text/plain - {BECE6102-5A9A-11D9-AF62-9D29BBA9EF04} - C:\WINDOWS\SYSTEM\NINC.DLL

Lösche diese Dateien:
C:\WINDOWS\SYSTEM\NINC.DLL
C:\WINDOWS\SYSTEM\VLD1306.DLL

- neue Strtseite vergeben
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Stephen · 31.12.2004, 01:23

So weit sieht das schon mal ganz gut aus. Zumindest die Startseite wird nimmer gelöscht. Auch spy sweeper findet keinen CWS mehr, allein der eScan erscheint mir noch nicht sauber:

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Desktop\Sophos1204\backups\backup-20041230-223239-607.dll infected by "not-a-virus:AdWare.BHO.NoName.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Desktop\Sophos1204\backups\backup-20041230-223239-344.dll infected by "Trojan-Downloader.Win32.Agent.gj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\counter.jar-5b38b92d-4f36a22f.zip infected by "Trojan.Java.Shiwow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\arch11139.jar-289213dd-4dd16c4a.zip infected by "Trojan.Java.ClassLoader.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\archive.jar-26ec0021-3d0218c3.zip infected by "TrojanDownloader.Java.OpenStream.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\archiveb1.jar-2921e73b-5f8535ac.zip infected by "TrojanDownloader.Java.OpenConnection.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\nbb.jar-305a8afa-573be936.zip infected by "TrojanDownloader.Java.OpenConnection.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\WebCounter.jar-44dddd53-3dd57102.zip infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\BlackBox.class-297de206-66efeda3.class infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\Dummy.class-70e7af86-1abc79dd.class infected by "Trojan.Java.ClassLoader.Dummy.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\VerifierBug.class-319df49c-42c6aebb.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

und hier der aktuelle hijack.log

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\OPTIONS\CABS\OLS\AOL\AOL40DE.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Desktop\Sophos1204\backups\backup-20041230-223239-607.dll infected by "not-a-virus:AdWare.BHO.NoName.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Desktop\Sophos1204\backups\backup-20041230-223239-344.dll infected by "Trojan-Downloader.Win32.Agent.gj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\counter.jar-5b38b92d-4f36a22f.zip infected by "Trojan.Java.Shiwow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\arch11139.jar-289213dd-4dd16c4a.zip infected by "Trojan.Java.ClassLoader.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\archive.jar-26ec0021-3d0218c3.zip infected by "TrojanDownloader.Java.OpenStream.k" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\archiveb1.jar-2921e73b-5f8535ac.zip infected by "TrojanDownloader.Java.OpenConnection.g" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\nbb.jar-305a8afa-573be936.zip infected by "TrojanDownloader.Java.OpenConnection.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\jar\1.0\WebCounter.jar-44dddd53-3dd57102.zip infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\BlackBox.class-297de206-66efeda3.class infected by "Trojan.Java.ClassLoader.Dummy.e" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\Dummy.class-70e7af86-1abc79dd.class infected by "Trojan.Java.ClassLoader.Dummy.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\.jpi_cache\file\1.0\VerifierBug.class-319df49c-42c6aebb.class infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken.

Trotzdem schon mal danke für deine/eure Hilfe
Stephen

Cidre · 31.12.2004, 01:48

Du hast die Virus Log Information doppelt gepostet! :aplaus:

- Unter Systemsteuerung -> Java Plugin -> Cache -> löschen
- Backup Ordner von Sophos leeren

31.12.2004, 01:48	#4
Cidre Administrator, a.D.	Bitte mal einen Blick drauf werfen Du hast die Virus Log Information doppelt gepostet! :aplaus: - Unter Systemsteuerung -> Java Plugin -> Cache -> löschen - Backup Ordner von Sophos leeren __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

Bitte mal einen Blick drauf werfen

Log-Analyse und Auswertung: Bitte mal einen Blick drauf werfen