keine https seiten mehr

hallo zusammen, ich hbae ein kleines problemchen. ich habe das sp2 (XP) installiert. ab diesem zeitpunkt kann ich keine https seiten mehr anzeigen.
vorher hatte ich einen trojaner auf dem rechner (glaub ich zumindest). als ich da beim homebanking eineTAN eingeben wollte ist ein fenster aufgegangen
in dem ich nochmal eine andere TAN eigeben sollte (hab ich natürlich nicht gemacht) ich bin aber aus der seite nicht mehr herausgekommen. nur mit strg*alt*entf.
danach habe ich das sp2 installiert und ich kann keine sicheren seiten mehr anzeigen. was kann ich da noch machen? erstmal nen trojaner scan? oder irgendwelche einstellungen
im IE6 ändern? habt ihr einen rat?

odin661

@odin661
überprüfe dein system mit escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."


chaosman

@chaosman

danke für deine schnelle antwort. ich bin schon völlig "verzeifelt"
naja, also ich habe das programm runtergeladen und einen scan gemacht. sieht nicht gut aus, ne menge trojaner (oder so was in der art).

hier die virus log information aus dem programm fenster:

--------------------------------------------------------------------
Mon Apr 04 20:07:05 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.

Mon Apr 04 20:07:05 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:12:05 2005 => File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\SE.DLL.VIR infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:45:47 2005 => File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\SE.DLL.VIR infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:54:34 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

Mon Apr 04 20:54:34 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR

Mon Apr 04 20:54:37 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.VIR infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:54:37 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\SE.DLL.001

Mon Apr 04 20:54:40 2005 => File C:\Programme\AVPersonal\INFECTED\SE.DLL.001 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:57:11 2005 => File C:\System Volume Information\_restore{662E5B1E-B504-4D69-B842-115F72F8C8C9}\RP40\A0013609.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: No Action Taken.

Mon Apr 04 20:57:21 2005 => File C:\System Volume Information\_restore{662E5B1E-B504-4D69-B842-115F72F8C8C9}\RP40\A0013726.exe infected by "Trojan-Dropper.Win32.Small.wi" Virus. Action Taken: No Action Taken.


xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Mon Apr 04 21:03:16 2005 => Total Objects Scanned: 58245
Mon Apr 04 21:03:16 2005 => Total Virus(es) Found: 7
Mon Apr 04 21:03:16 2005 => Total Disinfected Files: 0
Mon Apr 04 21:03:16 2005 => Total Files Renamed: 0
Mon Apr 04 21:03:16 2005 => Total Deleted Objects: 0
Mon Apr 04 21:03:16 2005 => Total Errors: 6
Mon Apr 04 21:03:16 2005 => Time Elapsed: 00:56:52
Mon Apr 04 21:03:16 2005 => Virus Database Date: 2005/04/04
Mon Apr 04 21:03:16 2005 => Virus Database Count: 124577

Mon Apr 04 21:03:16 2005 => Scan Completed.
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

so das wars "erst mal". gibt es eine software mit der ich das alles rauslöschen kann, oder einen anderen "trick"?
haben diese trojaner was damit zu tun ds ich keine https seiten mehr anzeigen kann, sicher. obwaohl ich mit dem rechner besser keine https seiten mehr aufrufen werde (ich hab noch einen "cleanen")

gruss und danke schon mal für einen tipp.
odin661

Hallo,

den Inhalt der beiden Ordner leeren:
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp
C:\Programme\AVPersonal\INFECTED

Anschliessend den Cleaner sicherheitshalber anwenden und danach die Systemwiederherstellung deaktivieren -> Neustart -> Systemwiederherstellung wieder aktivieren.

Abschliessend noch dies ausführen:

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

@cidre.....hier das logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:12:35, on 04.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\s3hotkey.exe
C:\WINDOWS\system32\S3Tray2.exe
C:\WINDOWS\System32\00THotkey.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE
C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
C:\Programme\TOSHIBA\TME3\TMESBS32.EXE
C:\WINDOWS\system32\TFNF5.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DayDisplay\DayDisplay.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
C:\Programme\TOSHIBA\TME3\Tmesrv31.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://xxxxxxxxxxx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {xxxxxxxxxxxxx} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: GMX Toolbar - {xxxxxxxxxxxxx} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {xxxxxxxxxxxxxxxxxx} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\System32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV31.EXE /Logon
O4 - HKLM\..\Run: [TMERzCtl.EXE] C:\Programme\TOSHIBA\TME3\TMERzCtl.EXE /Service
O4 - HKLM\..\Run: [TMEEJME.EXE] C:\Programme\TOSHIBA\TME3\TMEEJME.EXE
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS32.EXE /Client
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DayDisplay] C:\Programme\DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar3.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar3.dll/cmsimilar.html
O9 - Extra button: Messenger - {xxxxxxxxxxxxxxx} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...xxxxxxxxxxxxxx
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Tmesbs32 (Tmesbs) - TOSHIBA Corporation - C:\Programme\TOSHIBA\TME3\Tmesbs32.exe
O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Programme\TOSHIBA\TME3\Tmesrv31.exe


ist was zu erkennen ??? ;-))

odin661

Dein Log-File sieht sauber aus.

Die Startseite hättest du zwar nicht editieren sollen, aber ich geh mal davon aus, dass du sie überprüfst und somit OK ist.


Ansonsten den IE sicherer konfigurieren und Alternativbrowser wie Firefox einsetzen. Dies kannst du aber alles aus meiner Signatur entnehmen.

;-)) .....mal ne andere frage warum kann ich keine https seiten aufrufen. liegt das an den trojanern oder am XP SP2 ?? wie kann ich das prüfen?

das andere in deiner signatir mache ich jetzt.

danke schon mal
odin661

So wie ich das sehe, ist bei dir die ICF ('Windows Firewall') aktiviert. Deaktiviere diese kurzzeitig und überprüfe, ob du anschliessend die gewünschte https Site dann aufrufen kannst.

hallo, ich habs mal probiert, geht auch dann nicht. die verschlüsselung ist 128 bit. genau wie vorher auch. ich bin aber mal mit strg/alt/entf aus der homebanking seite raus, weil ich dort ne "zusatz" TAN eingeben sollte. kann es sein das es dort etwas "zerschossen" hat?
odin661

Zitat:

kann es sein das es dort etwas "zerschossen" hat?

Unvorstellbar.
Installiere jetzt mal Firefox und überprüfe ob du die Seite dann erreichst.
So könnte man zumindest eine Fehlkonfiguration am IE ausschliessen.

hallo, habe gerade mal firefox installiert...nicht schlecht das teil.< leider bekomme ich damit die seite auch nicht angezeigt. es erscheint die meldung ....."beim versuch, ww2.homebanking-...........de zu kontaktieren, wurde die verbindung zurückgesetzt."

hhhmm, komische sache, oder???
odin661

Poste mal die genaue Seite.

btw:
Hast du auch andere Seiten getestet?

http://www.spk-muldental.de/ihre_spa...ID=IF@@024@@IF

.......auf der linken seite auf online banking gehen. nein ich kenne keine anderen https seiten. welche gibts da noch?

odin661

ich habe eine idee. ich habe nun ein paar andere https seiten gefunden, z.b. paypal oder moneybookers. die kann ich alle aufrufen. ich denke mal der bankserver hat meine IP (oder so was in der art) gespeichert als ich "hart" aus der seite raus bin, oder als sich der trojaner auf der seite gemeldet hat (..das ding mit der zweiten TAN eingeben...). auf anderen rechnern bei mir gehts wunderbar (auf der arbeit oder so). ich rufe morgen mal die bank an und frage ob es so was bei denen gibt. ich sage euch morgen bescheid ob es daran gelegen hat.
gruss odin661