Problem - Irgendwas eingefangen

eMBe · 20.03.2005, 16:51

Hi,
hab mir wohl irgendwas eingefangen:
Betriebssystem Windows 2000 Professional

Spybot meldet:
- DSO Exploit
- AllCyberSearch
- WebDialer

Ad-Aware meldet:
-CoolWWWSearch
-Possible Browser Hijack attempt

Hier mein Hijack Log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\System32\cisvc.exe
C:\LDCLIENT\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDCLIENT\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\System32\MsgSys.EXE
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe
C:\WINNT\System32\SXCPL.EXE
C:\OfficeScan NT\Pccntmon.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\WINNT\System32\rundll32.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Apoint2K\Apntex.exe
C:\LDClient\SoftMon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Eigene Software\Palm\HOTSYNC.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\System32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Eigene Software\WinCommander\wincmd\WINCMD32.EXE
C:\Eigene Software\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.zeb.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von zeb/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.zeb.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet.zeb.de;outlook.zeb.de;192.168.*;pinguin.zeb.de;portal.zeb.de;zebdemsmail1.zeb.de;lissy.zeb.de;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AE7EACCF-975A-47F6-9945-99D02A94655C} - C:\WINNT\System32\nodp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [TMEPROP] C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe -S
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\Toshiba\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: HotSync Manager.lnk = C:\Eigene Software\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Inventarscan.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Health.lnk = C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs
O4 - Global Startup: Softwareüberwachung.LNK = C:\LDClient\SoftMon.exe
O4 - Global Startup: Task Completion.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet.zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{814913AF-7A14-4E11-B3BB-592E71E149CD}: Domain = zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{814913AF-7A14-4E11-B3BB-592E71E149CD}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zeb.de
O18 - Filter: text/html - {97DCA0BC-8040-4E35-9E27-D08DB6861F1D} - C:\WINNT\System32\nodp.dll
O18 - Filter: text/plain - {97DCA0BC-8040-4E35-9E27-D08DB6861F1D} - C:\WINNT\System32\nodp.dll
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk(R) Development, Ltd - C:\Programme\LANDesk\Shared Files\residentagent.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDCLIENT\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\LDCLIENT\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Fernsteuerungsdienst von LANDesk (Wuser32) - LANDesk Software Ltd. - C:\LDClient\wuser32.exe

CWSShredder bringt gar nix!
Leider bin ich ziemlicher Anfänger und würde mich über Hilfe freuen.
Danke schön!
eMBe

cronos · 20.03.2005, 17:12

Arbeite erst einmal das durch:

http://www.trojaner-info.de/anleitun...out_blank.html

Melde dich dann mit einem neuen Log zurück.
Diesmal bitte mit Kopfzeile, die ungefähr so aussieht:

Logfile of HijackThis v1.99.1
Scan saved at 01:41:41, on 14.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

eMBe · 21.03.2005, 00:25

Hallo cronos,

hab ich gemacht:

Logfile SpHifix.exe:

(21.3.05 00:02:48) SPSeHjFix started v1.09
(21.3.05 00:02:48) OS: Win2000 Service Pack 3 (5.0.2195)
(21.3.05 00:02:48) Language: deutsch
(21.3.05 00:02:49) Disinfect started
(21.3.05 00:02:49) Bad-Dll(IEP): (not found)
(21.3.05 00:02:49) Bad-Dll(IEP) in BHO: (not found)
(21.3.05 00:02:49) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINNT\System32\nodp.dll
(21.3.05 00:02:49) Searchassistant Uninstaller - Keys Deleted
(21.3.05 00:02:49) UBF: 4
(21.3.05 00:02:49) UBB: 1
(21.3.05 00:02:49) UBR: 16
(21.3.05 00:02:49) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
(21.3.05 00:02:49) File added to delete: c:\winnt\system32\nodp.dll
(21.3.05 00:02:49) Reboot

(21.3.05 00:08:54) SPSeHjFix started v1.09
(21.3.05 00:08:54) OS: Win2000 Service Pack 3 (5.0.2195)
(21.3.05 00:08:54) Language: deutsch
(21.3.05 00:08:56) Disinfect started
(21.3.05 00:08:56) Bad-Dll(IEP): (not found)
(21.3.05 00:08:56) Bad-Dll(IEP) in BHO: (not found)
(21.3.05 00:08:56) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINNT\System32\nodp.dll
(21.3.05 00:08:56) Searchassistant Uninstaller - Keys Deleted
(21.3.05 00:08:56) UBF: 4
(21.3.05 00:08:56) UBB: 0
(21.3.05 00:08:56) UBR: 16
(21.3.05 00:08:56) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
(21.3.05 00:08:56) File added to delete: c:\winnt\system32\nodp.dll
(21.3.05 00:08:56) Reboot

Neues Logfile HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 00:18:53, on 21.03.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\System32\cisvc.exe
C:\LDCLIENT\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDCLIENT\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\System32\MsgSys.EXE
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe
C:\WINNT\System32\SXCPL.EXE
C:\OfficeScan NT\Pccntmon.exe
C:\Eigene Software\Hijack This\HijackThis.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Apoint2K\Apntex.exe
C:\LDClient\SoftMon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Eigene Software\Palm\HOTSYNC.EXE
C:\WINNT\System32\MsiExec.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.zeb.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von zeb/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.zeb.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet.zeb.de;outlook.zeb.de;192.168.*;pinguin.zeb.de;portal.zeb.de;zebdemsmail1.zeb.de;lissy.zeb.de;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [TMEPROP] C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe -S
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\Toshiba\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: HotSync Manager.lnk = C:\Eigene Software\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Inventarscan.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Health.lnk = C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs
O4 - Global Startup: Softwareüberwachung.LNK = C:\LDClient\SoftMon.exe
O4 - Global Startup: Task Completion.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet.zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{814913AF-7A14-4E11-B3BB-592E71E149CD}: Domain = zeb.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zeb.de
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk(R) Development, Ltd - C:\Programme\LANDesk\Shared Files\residentagent.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDCLIENT\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\LDCLIENT\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Fernsteuerungsdienst von LANDesk (Wuser32) - LANDesk Software Ltd. - C:\LDClient\wuser32.exe

Ist das nun gut oder schlecht?
Danke für Hilfe
eMBe

chaosman · 21.03.2005, 12:27

@eMBe
lass mal zur sicherheit escan laufen
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
chaosman

eMBe · 21.03.2005, 16:25

Here we go:

ESCAN:

File C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\se.dll infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\temp.fr66DB infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\temp.frCCF8 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\temp.frCD1A infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\temp.frF9D7 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\memberger.ZEB\Lokale Einstellungen\Temp\se.dll infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\memberger.ZEB\Lokale Einstellungen\Temp\temp.fr66DB infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\memberger.ZEB\Lokale Einstellungen\Temp\temp.frCCF8 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\memberger.ZEB\Lokale Einstellungen\Temp\temp.frCD1A infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\memberger.ZEB\Lokale Einstellungen\Temp\temp.frF9D7 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.
File C:\q747863.exe infected by "Trojan-Downloader.Win32.Agent.kg" Virus. Action Taken: No Action Taken.
File D:\97 Computereinstellungen\Virenprobleme\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 16:24:27, on 21.03.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\LANDesk\Shared Files\residentagent.exe
C:\WINNT\System32\cisvc.exe
C:\LDCLIENT\LOCALSCH.EXE
C:\WINNT\system32\cba\pds.exe
C:\LDCLIENT\QIPCLNT.EXE
C:\LDClient\tmcsvc.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\LDClient\wuser32.exe
C:\WINNT\System32\MsgSys.EXE
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\Explorer.EXE
C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe
C:\WINNT\System32\SXCPL.EXE
C:\OfficeScan NT\Pccntmon.exe
C:\Programme\Toshiba\ConfigFree\NDSTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Apoint2K\Apntex.exe
C:\LDClient\SoftMon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Eigene Software\Palm\HOTSYNC.EXE
C:\WINNT\System32\cidaemon.exe
C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\MEMBER~2.ZEB\LOKALE~1\Temp\kavss.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Eigene Software\Hijack This\HijackThis.exe
C:\Eigene Software\WinCommander\wincmd\WINCMD32.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.zeb.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer zur Verfügung gestellt von zeb/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.zeb.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = intranet.zeb.de;outlook.zeb.de;192.168.*;pinguin.zeb.de;portal.zeb.de;zebdemsmail1.zeb.de;lissy.zeb.de;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [THotkey] C:\Programme\Toshiba\Toshiba Applet\thotkey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [TMEPROP] C:\Programme\Toshiba\Toshiba Applet\TMEPROP.exe -S
O4 - HKLM\..\Run: [SXCPL] SXCPL.EXE
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\Pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [IntelAPMClient] C:\LDClient\amclient.exe /apm /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] "C:\Programme\Toshiba\ConfigFree\NDSTray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: HotSync Manager.lnk = C:\Eigene Software\Palm\HOTSYNC.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Inventarscan.LNK = C:\LDClient\LDISCN32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PC Health.lnk = C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs
O4 - Global Startup: Softwareüberwachung.LNK = C:\LDClient\SoftMon.exe
O4 - Global Startup: Task Completion.LNK = C:\LDClient\AMCLIENT.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O10 - Unknown file in Winsock LSP: c:\programme\bulletproofsoft.com\bps spyware & adware remover\apptoport.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet.zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{814913AF-7A14-4E11-B3BB-592E71E149CD}: Domain = zeb.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{814913AF-7A14-4E11-B3BB-592E71E149CD}: NameServer = 194.179.1.100,194.179.1.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = zeb.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = zeb.de
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: LANDesk(R) Management Agent (CBA8) - LANDesk(R) Development, Ltd - C:\Programme\LANDesk\Shared Files\residentagent.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Intel Local Scheduler Service - LANDesk Software Ltd. - C:\LDCLIENT\LOCALSCH.EXE
O23 - Service: Intel PDS - Intel® Corporation - C:\WINNT\system32\cba\pds.exe
O23 - Service: Intel QIP Client Service - LANDesk Software Ltd. - C:\LDCLIENT\QIPCLNT.EXE
O23 - Service: Intel Targeted Multicast - LANDesk Software Ltd. - C:\LDClient\tmcsvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Unknown owner - C:\OfficeScan NT\tmlisten.exe
O23 - Service: Fernsteuerungsdienst von LANDesk (Wuser32) - LANDesk Software Ltd. - C:\LDClient\wuser32.exe

Kann mir wer weiterhelfen?
Danke
Markus

eMBe · 27.03.2005, 00:37

Hallo Trojanerboard,

kann jemand was mit dem unten stehenden ESCAN (Trojan.Win32.StartPage.uz) und HijackThis anfangen?
Bin für Hilfe dankbar....

eMBE

dartus · 27.03.2005, 00:50

Hallo,

lade Dir clearprog 1.4.1 final.
Wechsel in den abgesicherten Modus.
http://www.systemwiederherstellung-d...indows-xp.html
Starte "clearprog"--> Häckchen bei alles Löschen und auf Löschen Klicken.

Folgende Datei maunell löschen:

C:\q747863.exe

Papierkorb leeren

Pc herunterfahren (ausstellen) --> Neustarten --> WICHTIG Windows updaten!

dartus

Problem - Irgendwas eingefangen

Log-Analyse und Auswertung: Problem - Irgendwas eingefangen