Zitat:

Zitat von AL-ADIN

wenn man die Seite aufruft

Ich hoffe, dass Du Deinen Rechner durch die Aufruferei der Seite nicht wieder neu infizierst....

Zitat:

Was bedeuten die Einträge in den HKEY_USERS (sieh Doc)?. Ich habe den Eindruck die vermehren sich auch. Es gibt nur einen USER und der bin ich auf diesem Rechner.

Tun sie, aber nur wenn Du neue Programme installierst, da sehe ich keine Gefahr.

Also, die IP ist anscheinend der DNS, also von Hause aus ungefährlich.
(sie gehört zu: IANA )

Blockiere doch mal den Zugriff der Explorer.exe per Firewall und warte ab, ob Du noch surfen kannst.

Steige um auf z.B. Firefox, konfiguriere ihn sicher und Du hast Ruhe. Falls Du nicht, durch das Surfen auf unsicheren Seiten, alles zunichte machst.

Lösche regelmäßig (am besten nach jedem Surfgang) mit ClearProg z.B. alle relevanten Daten (Temp, Cache, Papierkorb.....). Lösche auch den Java-Cache regelmäßig.

Update regelmäßig Dein System, den IE und Deine AV-Software. Mache regelmäßige Scans mit den entsprechenden Programmen.

Ach ja, installiere MBSA mal und checke, ob Dein System aus MS-Sicht sicher ist:
MBSA
(ist zwar ein Microsoft-Produkt, aber ausnahmsweise mal zu empfehlen)

Danke für die weitere Hilfe Feierfox.

Ich habe die Explorer.exe geblockt. Es funktioniert auch alles.
Wie kommt man zu so einem DNS? Was wollen die von mir? Na ja.

Ich habe MBSA ausgeführt. Ich brauche noch zwei Office-Updates, das war alles was er von mir wollte.

Es gibt da jetzt auch noch eine Beta-Version Microsoft Anti-Spyware. Die habe ich mir auch noch besorgt.

ES WIRD NICHTS GEFUNDEN, ABER DER STARTPAGE IST IMMER NOCH DA!!!

Alle Programme melden alles ok. Das glaube ich auch soweit, da ich Kernteile des Startpage zerstört habe. Es muss jedoch noch irgendwo eine Einstellung sein, so dass Startpage überlebt. (Systemherstellung immer ist auch noch deaktiviert).

Wie kann man so eine Trojaner-Datei überleben lassen? Wer das rausfindet, der ist mindestens 1000 andere Leute ein Held.

Gruß

AL-ADIN
Harald

DNS "übersetzt" Domain-Namen in IP-Adressen, denn eigentlich sind im Internet ja nur diese die "richtigen" Adressen. Zur Vereinfachung wurden Domain-Namen (z.B. www.trojaner-board.de hat die Adresse 83.133.48.136) eingeführt, welche aber in IP`s "übersetzt" werden müssen. Gib doch mal folgende IP in das Adressfeld ein 66.102.11.99....ohne Zusätze. Siehe:
DNS

Zitat:

ABER DER STARTPAGE IST IMMER NOCH DA!!!

Vielleicht ganz einfach...Du gehst in die Internetoptionen und vergibst eine neue Startpage!

Ach, poste doch ein neues HijackThis-Log, zwecks letztem Check.

Hallo und Danke für die bisherige Hilfe.

Jetzt weiß ich wozu eine DNS gebraucht wird.
Hilft nur nicht, warum ausgerechnet meine Explorer.exe auf irgendwelchen IP zugreifen will. Da ich die exe geblockt habe, sollte das nicht weiter stören.

Hier mein aktueller LOG von HijackThis:
Dieser ist soweit ich das inzwischen beurteilen kann sauber.

Logfile of HijackThis v1.99.0
Scan saved at 14:59:22, on 27.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Saitek\Software\SaiSmart.exe
C:\Programme\Saitek\Software\Profiler.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe
C:\APPLI\AVPersonal\AVGNT.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\APPLI\AVPersonal\AVGUARD.EXE
C:\APPLI\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Harald\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.t-online.de
O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe
O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\APPLI\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\APPLI\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\APPLI\MICROS~1\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O17 - HKLM\System\CCS\Services\Tcpip\..\{79583E2B-08D9-4027-856F-19F05256E0F4}: NameServer = 192.168.0.1
O18 - Filter hijack: text/webviewhtml - (no CLSID) - (no file)
O18 - Filter hijack: text/xml - (no CLSID) - (no file)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\APPLI\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\APPLI\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: IAA Event Monitor - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe

Mit Startpage meinte ich immer wieder den Fund des TR\Startpage.215.A und noch in einem anderen Namen, den mein AntiVir immer regelmäßig nach einer regelmäßigen Stundenanzahl meldet. Hier noch mal mein neuestes AntiVir LOG in Auszügen:

Mir machen diese NTUser.dat sorgen, ich bin mir nicht sicher, aber die vermehren sich, oder werde ich langsam hysterisch ??

Start des Suchlaufs: Sonntag, 27. Februar 2005 14:42

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\APPLI\AVPersonal\INFECTED
M[1].BIN.VIR
[FUND!] Ist das Trojanische Pferd TR/Startpage.215.A
WURDE GELÖSCHT!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\Harald
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\Harald\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService
NTUSER.DAT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ntuser.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows
UsrClass.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
UsrClass.dat.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SoftwareDistribution\EventCache
{6636807F-D146-4F03-BA78-F153F37EBF31}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
{6DE7C6AF-A6F9-482D-BA93-91BE15AD4F30}.bin
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SYSTEM32\CONFIG
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM.LOG
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Temp
Perflib_Perfdata_3bc.dat
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
ZLT01173.TMP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Sonntag, 27. Februar 2005 14:50
Benötigte Zeit: 08:05 min


1951 Verzeichnisse wurden durchsucht
54070 Dateien wurden geprüft
27 Warnungen wurden ausgegeben
1 Datei wurde gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Virus bzw. unerwünschtes Programm wurde gefunden

Hallo,
hast Du wirklich den INFECTED-Ordner Deines AV-Programmes gelöscht? Weil Dein AV-Programm ja in diesem Ordner den Schädling (M[1].BIN.VIR) findet.
Die Einträge unter 018 solltest Du mit HijackThis fixen oder entstehen diese immer wieder neu?
Bei den Einträgen in HKEY_USERS und nicht NTUser.dat(.log) müsste man wissen, was sich dort ändert. Aber es ist normal, dass sich dort immer mal wieder was verändert. Dort werden u.a. ja alle Sachen gespeichert, welche sich bezüglich des Users ändern (Programmeinstellungen usw.). Dort sehe ich - ohne konkrete Anhaltspunkte auf einen Schädling - keine Probleme.

Zitat:

oder werde ich langsam hysterisch ??

Naja, vielleicht nicht hysterisch, aber `ne kleine Paranoia ist schon vorhanden. Ist aber auch zu verstehen, man möchte sein System ja sauber haben.

Zitat:

INFECTED-Ordner Deines AV-Programmes gelöscht?

Sorry, ich meine den Inhalt gelöscht, nicht den Ordner!

Und

Zitat:

S-1-5-21............

ist das Administrator-Konto, anscheinend gehst Du mit Adminrechten online, was nicht zu empfehlen ist. Besser mit einem eingeschränkten Konto ins Internet gehen. Denn Viren und Trojaner usw. "dürfen" nur das, was auch der angemeldete User darf.

Hallo Feierfox,

ich habe auch schon den kompletten Infecetd-Ordner gelöscht. Das bringt auch nichts.

Der Startpage im Infected-Ordner habe ich dahin geschoben, um Ihn von dort aus zu löschen.

Wenn ich StartPage gelöscht habe taucht er gewöhnlich im Temporären Internetverzeichnis auf. Das habe ich auch schon mehrmals gelöscht (auch im abgesicherten Modus).

Der TR\StartPage.215 kommt immer wieder in regelmäßigen abständen.

Für mich bedeutet das, daß Startpage einen Count macht (Zeit oder Anzahl der Verbindungsversuche) und das der Schädling noc irgendwo im System (z.B. Registry steckt).

Der Thread von Trojan-Hunter geht mir nicht aus dem Kopf. Das ist ein Ansatz, nur wo nachschauen und welcher Eintrag, ist wie üblich das Problem.

Die 018-Einträge kommen immer wieder, wenn ich HijackThis aufrufe.

Das mit der Userclass.dat und ntuser.dat.LOG ist einfach merkwürdig. Ich weiß auch nicht ob da ein Zusammenhang zu den HKEY_User besteht. Ich bin der Meinung das sind mehr Einträge geworden. Komisch ist auch das sich die Nummern dieser HKEY_USER Einträge so merkwürdig hochzählen. Ich hänge nochmals das Bild mit den Registry an.

Vielleicht fällt ja doch noch jemand etwas dazu ein.

Gruß

Harald

Also, die HKEY_USERS ist unverändert bezüglich der folgenden Nummern nach S-1-5-21 (siehe Dein Posting im anderen Thread).
Auf diese:

Zitat:

Userclass.dat und ntuser.dat.LOG ist einfach merkwürdig

kann das Programm auf Grund der Sicherheitseinstellungen einfach nicht zugreifen. Und, das ist auch richtig so!

Bezügl. Posting von Trojan_Hunter:
Wo hast Du genau danach gesucht und hast Du z.B. nach "regsvr32" die gesamte Registry (Feld markieren) durchsucht? Denn nach Uninstall kommt ja noch die "lange Nummer". Also auf "Suchen" (in der Registry) gehen -> "regsvr32" eingeben und komplette Registrierung durchsuchen lassen.

Fixe wieder die 018-Einträge im abgesicherten Modus.

Hast Du auch die Möglichkeit ausgeschlossen, dass im Autostart ein Prozess gestartet wird, der eventuell ungewollt ist?
Zu checken z.B. mit:
StartupList
oder:
http://www.niksoft.at/download/startdreck.htm

Noch etwas, sobald wieder die Meldung erscheint, dass die StartPage... gefunden wurde, lass HijackThis laufen (ohne, dass Du die Datei löschen lässt vom AV-Programm) und poste das Log. Da kann man dann ggf. sehen, ob ein neuer Prozess dazu kam.

Ich habe nochmal nach regsvr32 gesucht:

Hier alle Einträge dazu:

"C:\WINDOWS\system32\REGSVR32.EXE" /i:"%1" "C:\WINDOWS\system32\scrobj.dll"

%SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

regsvr32.exe /s /n /i:U shell32.dll

C:\WINDOWS\system32\REGSVR32.EXE


Natürlich waren die Einträge auch mehrmal in der Registry vorhanden, aber immer nur diese.

Gibt es eine Unterschied in der Schreibweise zwischen SHELL.dll und shell.dll für Windows?

Gruß

AL-ADIN

Hmm, also in der Registry nicht in Verbindung mit UninstallString? Was unter C:\ gefunden wurde, ist nicht ganz so entscheidend.

Bei mir z.B. findet er dieses unter diesem Pfad:

Ich habe danach durchsuchen lassen. Leider nichts bei mir.

Ich besitzte eine Testversion von den Advanced Admin. Tools mit Registry-Cleaner.

Den habe ich heute mal laufen lassen: Da finde ich bei einem SCAN folgenden Einträge bei Uninstall unter heutigem Datum: (siehe Bild - Markierung)

Bei UninstallString bei einigen Programmen finde ich immer den gleichen Eintrag, während andere Programme (HiJackThis, Microsoft-Programme,...)
"normale" Einträge stehen.

Das muss zwar nichts heissen, aber ein neuer Ansatzpunkt.

Mir fällt auch auf, daß die "RunDll32" geschrieben wurde. Ist das normal?

Gruß

AL-ADIN

Also die Schreibweise ist egal, man muss nur aufpassen, dass nicht z.B. das l durch ein I "ersetzt" wurde. Sieht ja ähnlich aus...RunDII32...oder EXPL0RER.EXE...statt O eine 0.

Zu Deinem Anhang:
Die Datei ctor.dll könnte die Ursache für Deine Probleme sein!
Versuch mal hiermit Dein System von der Hotbar (oder deren Reste) zu befreien:
http://hotbar.com/downloads/HbUninst.exe
oder:
http://www.iamnotageek.com/a/217-p2.php
Auch hiermit kann man BHO`s überprüfen und ggf. löschen:
BHO Demon

Lösch aber nicht "wahllos" in der Registry oder auf C:\ die ctor.dll, denn normalerweise ist die Datei eine Windows-Datei. Such sie auch in C:\Windows und in C:\Windows\System32 und schau Dir die Eigenschaften an, ob es sich wirklich um eine Microsoft-Datei handelt! Denn in diesen Ordnern hat sie nichts zu suchen.

Damit Du mir glaubst, schau mal hier:
http://www.wintotal.de/Spyware/index.php?Filter=C

Hallo Feierfox und wer noch so liest,

Alle Programme ausprobiert, jedoch mit dem StartPage komme ich nicht weiter. Die ctor.dll scheinen alle normal zu sein.

Es muß noch an etwas anderem liegen. Fällt jemanden noch etwas ein, wo es sich versteckt?

Gruß

AL-ADIN