Hallo!

Habe folgendes Problem:

Vor kurzem hat Antivir den Trojaner Tr/WmvDownloade.A.4 gefunden und beseitigt (dies zumindest angegeben).

Mir ist nun aufgefallen das beim Laden von Webseiten (z.B. Ebay oder Zdnet)
links unten im Browser (IE) folgendes angezeigt wird:

"Eine bösartige Adresse http://........."

dies verschwindet dann nach einem Bruchteil von Sekunden wieder. Mir ist das früher noch nie aufgefallen. Hat das evtl. etwas mit einem Trojaner oder sonstigem zu tun??

Desweiteren wird meine sygate personal firewall ab und zu automtisch beendet. Bei Ausführen von Strg+Alt+Entf wird angezeigt: smc (reagiert nicht).
Die Anwendung smc scheint mit der Firewall in Verbindung zu stehen.
Arbeitet die Firewall nun überhaupt? Kann dies vielleicht mit einem Trojaner zusammenhägen, der die Firewall lahm legt?



Hoffe auf Antwort,

vielen Dank,

purplerain

@purplerain
Mir ist das früher noch nie aufgefallen. Hat das evtl. etwas mit einem Trojaner oder sonstigem zu tun??
konnte gut sein

poste ein HJT logfile
direktdownload
anleitung
chaosman

hier mein logfile, hoffe mir kann jemand sagen was sache ist mit meinem system. Irgendwas stimmt nicht. Es läuft ständig irgendwas im hintergrund ab.
Solange bis garnichts mehr geht, dann muss ich neustarten. Das Logfile ist direkt nach einem Neustart enstanden. Weiß nicht ob es dann weniger informationen enthält als nach längerem pc betrieb?

Vielen Dank für die Auswertung!

Logfile of HijackThis v1.99.1
Scan saved at 23:19:33, on 07.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYGATE\SPF\SMC.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\ESSNDSYS.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\ATMEL\802.11 WIRELESS LAN\WLANMONITOR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\UNZIPPED\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [IrMon] IrMon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ESSNDSYS] ESSNDSYS.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [O2MemChk] O2memchk.exe 06000000
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE\SPF\SMC.EXE -startgui
O4 - HKLM\..\Run: [PCPerf] "C:\PROGRAMME\PC ACCELERATOR 2005 TRIAL DEMO\pcperf.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SmcService] C:\PROGRAMME\SYGATE\SPF\SMC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Configuration & Monitor Utility.lnk = C:\Programme\ATMEL\802.11 Wireless LAN\WlanMonitor.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRAMME\YAHOO!\MESSENGER\YPAGER.EXE
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

Hi purplerain

ich kann im Logfile nicht unbedingt was schlechtes sehen, deshalb schlage ich vor scanne Dein System mal mit eScan. Beschreibung siehe unten
(Haken setzen bei All Local Drives und Scan All Files)

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hallo!

Habe mein system mit escan getestet, folgendes kam bei raus:

Tue Mar 08 14:32:49 2005 => ***** Scanning complete. *****

Tue Mar 08 14:32:49 2005 => Total Files Scanned: 26281
Tue Mar 08 14:32:49 2005 => Total Virus(es) Found: 5
Tue Mar 08 14:32:49 2005 => Total Disinfected Files: 0
Tue Mar 08 14:32:49 2005 => Total Files Renamed: 0
Tue Mar 08 14:32:49 2005 => Total Deleted Files: 0
Tue Mar 08 14:32:49 2005 => Total Errors: 16
Tue Mar 08 14:32:49 2005 => Time Elapsed: 01:17:32
Tue Mar 08 14:32:49 2005 => Virus Database Date: 2005/03/08
Tue Mar 08 14:32:49 2005 => Virus Database Count: 120752

Tue Mar 08 14:32:49 2005 => Scan Completed.

msvLclnt.dll] [0xfffd251b] 08/03/2005 13:18:45:620 :[00000001] File C:\WINDOWS\TEMP\~vis0000\rebootnt.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0xfffd251b] 08/03/2005 13:46:57:160 :[00000001] File C:\WINDOWS\COMMAND\EBD\EBD.CAB infected by not-a-virus:Tool.DOS.Restart
[msvLclnt.dll] [0xfffd251b] 08/03/2005 13:51:42:880 :[00000001] File C:\WINDOWS\TEMP\~vis0000\rebootnt.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0xfffd251b] 08/03/2005 14:25:56:660 :[00000001] File C:\Eigene Dateien\download\pcxl.zip infected by not-a-virus:RiskWare.Tool.Gendel
[msvLclnt.dll] [0xfffd251b] 08/03/2005 14:31:53:340 :[00000001] File C:\unzipped\pcxl\pcxl.exe infected by not-a-virus:RiskWare.Tool.Gendel


auch nicht auffällig oder?

gruß purplerain

bei den erkannten deutet nicht's auf einen Trojaner oder ähnlichen hin
vielleicht hat Chaosman noch eine Idee

eben gerade habe ich auch die Meldung "eine bösartige Adresse" vor dem Link im IE6 links unten, ganz kurz, dann war's wieder weg. Also wenn es Malware ist, dann ist es im IE6 und dann wer weiss noch wo.

Bei http://www.atomicfonts.com/ ist es mir aufgefallen. Im Quelltext der Seite war aber nichts derartiges.

Antivirus verabschiedet sich, bzw. der AVGuard geht nicht mehr richtig, mwti.net kann nicht angezeigt werden, scheint aber offline zu sein. Wo kann man escan noch besorgen? Ist http://www.download.com/3120-20_4-0....can&tg=dl-2001 auch OK? Hier ist die Version 2.6 angeblich neuer als die 2.6.518.8.

Ich werde weiter berichten, nachdem ich abgesichert gescannt habe..

@purplerain
als erstes IE bitte updaten

zum Wmvdownloader A ein paar infos
http://www.pandasoftware.com/virus_i...?idvirus=57265

war bei escan das häkchen bei all drives gesetzt?
der zahl der files kommt mir etwas wenig vor?
bei meinem 98se sind es 100000 files, muss aber nichts heisen.

ansonsten fällt mir nichts ein.
Antivir müßte eigentlich den Wmvdownloader A kennen.
chaosman