Hallöchen

Um es kurz zu machen: hab meinen liter Bier bereits getrunken. Danke @DaSnyper

also, zu meinem problem:

Bei einem laptop meiner freunde sind nach dem escan folgende zwei einträge "hängen" geblieben:

Trojan.Win32.Dialer.gd (C:\Windows\System\tmpfile.exe)
und
trojan.Java.ClassLoader.z (C:\Windows\Temp\0A21EC28.TMP\blackbox.class)

hab die files dann manuell (im abgesicherten Modus) gelöscht und anschliessend hijack-this "laufen gelassen" und in der automatischen Auswertung auswerten lassen (klingt komisch, is aber so )

Nun denn. Die Files, http://***.v73.us ff (der offensichtliche dialer, oder?). hab ich dann mit hijack-this fixen lassen. Nach erfolgtem neustart erscheint aber alles wieder und die startseite ist wieder obengenannte. hab hier auch ein log-file, des hijack-this:

Logfile of HijackThis v1.99.0
Scan saved at 20:42:19, on 20.01.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.v73.us/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.v73.us/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.v73.us/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.v73.us/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.v73.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.v73.us/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.v73.us/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.v73.us
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.v73.us
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [YAMAHA DS-XG Launcher] c:\windows\dslaunch.exe
O4 - HKLM\..\Run: [HKserv.exe] C:\Programme\Sony\HotKey-Dienstprogramm\HKserv.exe
O4 - HKLM\..\Run: [Smart Connect Monitor] C:\Programme\Sony\1394\SCMon.exe
O4 - HKLM\..\Run: [Smart Connect Setup] C:\Programme\Sony\1394\SCSetup.exe -c
O4 - HKLM\..\Run: [AlpsPoint] C:\Progra~1\Apoint\Apoint.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] c:\windows\SYSTEM\mstask.exe
O4 - Startup: PowerPanel.lnk = C:\Programme\PowerPanel\PROGRAM\PcfMgr.exe
O4 - Startup: BatteryScope.lnk = C:\Programme\BatteryScope\batmgr.exe
O4 - Startup: PPK Setup (Server).lnk = C:\Programme\Sony\PPK Setup\SESERVE.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: EPSON Background Monitor.lnk = C:\ESM2\STMS.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O21 - SSODL: eplrr9 - {505D6280-62AA-11D9-A237-0000C5DD1231} - C:\WINDOWS\SYSTEM\mspdnx.dll

was mach ich hier falsch? kann mir da jemand mit rat zur seite stehen?

was mich persönlich "stutzig" macht, ist der eintrag 021....kennt das jemand? muss ich den auch fixen (inkl. all den anderen R0 und R1)? jotthi konnte nichts auffälliges finden....

natürlich hab ich auch spybot search and destroy 1.3 und ad-aware "laufen lassen".

auf einer anderen (english) site hab ich folgendes gefunden:

Delete files/folder from the following directories (But not the directory itself, for example delete all files/folder IN temp.
C:\Windows\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\ <<<This will delete your files in your internet cache--including cookies.
C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
Empty your "Recycle Bin"

ist das die lösung? also, escan und manuell löschen, dann hijack-this, dann spybot search and destroy, dann ad-aware und dann noch die obengenannten dateien innerhalb des Ordners löschen? sitzt dieser "dialer" irgendwo in den "nicht gelöschten" temp files oder seh ich das falsch?

Ich bedanke mich schon jetzt für eure unterstützung und erklärung!

Gruss
Marcello

Aufgefallen, das IE 5.x benutzt wird ist dir anscheinend nicht.

Zitat:

MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Sonst hättest ja wohl zu nem windowsupdate geraten.
Abgesicherter Modus und deaktivieren der Systemwiederherstellung bekannt?

hi cronos

doch, das mit IE ist mir auch aufgefallen und wollte dann auch firefox runterladen, jedoch bricht das netz dann immer zusammen. ich werde dies nun von meinem pc herunterladen und ihm dann installieren.

systemwiederherstellung bei WIN98 hab ich net gfunden...ups...hättest du da 'n tip?

Sorry mit der Systemwiederherstellung-hab übersehen, dass du von Win 98 sprichst.Gibts da nicht.
Deine Firefoxlösung bringt nix, da der IE sich ja immer noch auf dem anderen PC befindet und Sicherheitslücken aufweisst.
Deswegen muss das System auf diesem PC upgedated werden.

okey. das heisst, ich werde auf dem anderen pc das ganze system updaten, zusätzlich als "supplement" firefox installieren und den ganzen vorgang mit escan und hijack-this, ad-aware, spybot search and destroy nochmals wiederholen?

@cronos
ich denke, ich beantworte mir diese frage selber....

Ich bedanke mich!

Hilf dir selbst, dann hilft dir Gott!
Oder wie heisst es so schön?

Zu diesem Thema:

Zitat:

Delete files/folder from the following directories (But not the directory itself, for example delete all files/folder IN temp.
C:\Windows\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temp\
C:\Documents and Settings\<All other users Profile>\Local Settings\Temp\
C:\Documents and Settings\<Your Profile>\Local Settings\Temporary Internet Files\ <<<This will delete your files in your internet cache--including cookies.
C:\Documents and Settings\<All other users Profile>\Local Settings\Temporary Internet Files\
Empty your "Recycle Bin"

Ist ja gut und schön.Empfehle ich ja manchmal auch.Dann weiss ich aber, dass Malware entweder in den TEMP Ordnern gefunden oder in dem Ornder Content.IE5.Dafür gibt es sogar ein Proggie das unter www.clearprog.de zu finden ist.
Aber hier eben nicht.
Du hast ja nicht deinen ganzen Escan Log gepostet.Wie man das macht lässt sich durch Forensuche rausfinden.
Zu deinem Eintrag:
O21 - SSODL: eplrr9 - {505D6280-62AA-11D9-A237-0000C5DD1231} - C:\WINDOWS\SYSTEM\mspdnx.dll
kann ich dir erstmal nur folgenden Link geben:
http://www.trojaner-board.de/51130-a...ijackthis.html
Man beachte was bei O21 steht

Ansonsten stehts dir auch frei, diese datei:
C:\WINDOWS\SYSTEM\mspdnx.dll
Unter diesem Link zu scannen:
http://virusscan.jotti.org/de