Hallo erstmal, ich bin der neue

Also ich hab da son kleines Problem mit nem Trojaner der schimpft sich Trojan.bookmarker meine Antivirussoftware ( Symantek) hat ihn gefunden aber kann ihn weder löschen noch isolieren.Habe auch schon die wiederherstellungs- funktion von meinem Win-XP ausgeschaltet, und versucht ihn selbst zu löschen. Aber wenn ich ihn aus der registry löschen will scheint das zwar zu klappen aber nach kurzer Zeit (bzw. nach aktualisieren)steht er wieder da (msconfd.dll). Hab ich da was falsch gemacht ??? Wie werd ich das Pferdchen los ???

Ps: Hab auch die neusten updates von Symantek drauf.

mfg Wurst [img]graemlins/heulen.gif[/img]

Moin Wurst,

auch Dir ein 'Herzliches Willkommen an Board!'

Entweder du befolgst die Schritte, die Symantec zur Entfernug dieses Trojaners hier beschreibt (bitte vorsichtshalber eine Sicherung der Registry anlegen, bevor du dort Veränderungen vornimmst!!), oder falls du dir das nicht 'zutraust', lade dir HijackThis herunter, scann deinen Rechner und poste uns den Report hier. Dann können wir am besten sehen, was sich auf deinem Rechner so 'tummelt'...

tschööö, DerBilk

Moin Moin,
JA also nach der Anleitung in deinem Link habe ich es schon ein paar mal versucht, auch bevor ich auf diese Seite gestßen bin. Vielleicht habe ich da was verpeilt (my english is not very good )deshalb hier noch mal der Scan.

Ps: es sind nicht mehr alle Symptome des Trojan.Bookmarker vorhanden, eigendlich bekomme ich nur alle 5sek. ne nervende Warnung von Norton
aber der ansonsten keine Probs (vorher hat er ja ständig im IE rumgefummelt)


Logfile of HijackThis v1.97.7
Scan saved at 16:06:34, on 26.12.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\wanmpsvc.exe
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Power Cinema\PowerVCR II\Agent.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\quicken.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\peddi.PEDDI-PC\Eigene Dateien\Eigene Musik\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://vc-dlb.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [SAITEKAUTOCONFIGURE] C:\Programme\Saitek\ST\Drv\saicnfig.exe /autorun
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Agent] C:\Programme\Power Cinema\PowerVCR II\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\Power Cinema\PowerVCR II\RemoteAgent.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [quicken] C:\WINDOWS\quicken.exe
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...846.6278819444
O19 - User stylesheet: C:\WINDOWS\hh.htt (HKLM)


Ach nochwas zum Schluß die infizierte Datei heißt
msconfd.dll und versteckt sich im sys32 ordner.

greetz Wurst

[ 26. Dezember 2003, 16:26: Beitrag editiert von: Wurst des Grauens ]

Gibt es eigendlich en tool der den Bösewich automatisch entfernt.

greetz Wurst

Such Dir mal unter www.bul-online.de/av/onlinescan.shtml (am Besten Rav und/oder Trend Micro!) einen Onlinescanner aus. Hierfür musst Du allerdings ActiveX im InternetExplorer zulassen.

Mal schauen, ob die etwas finden...

hossa da sind noch 2
1.html counter.A
2.java bytverify

Naja, wenn du viel Zeit und Lust hast, dann kannst du schon dein System formatieren.

Ich finds aber nicht zwingend erforderlich.

Besorg dir einfach einen Virenscanner.
Kostenlose Anti-Viren-Programm AntiVir: www.free-av.de
Du kannst hiermit die beiden "Ungeziefer" entfernen.

Außerdem könntest du noch speziell gegen Trojaner was machen: www.a-2.org
Auch kostenlos. Probiers doch einfach mal aus.

hi
na die beiden letzten sind ja eigendlich nicht mein Problem (noch nicht), es geht mir vor allem um troj.Bookmark den meine software gefunden hat.
ich wieß genau wo die kleine Ratte ist kann sie aber nicht löschen, und da ich jetzt mit ner anderen software noch die beiden anderen lustigen Gesellen gefunden hab wird mir das ganze langsam zu bunt.

greetz wurst

Ja dann runter mit dem Schrott und neu aufsetzen.
Danach ZUERST alle WIN-Sicherheitsupdates machen und dann einen gescheiten Virenscanner drauf.

ist norton internet security und norton antivirus für den anfang genug.Waren haben bis jetzt auch immer dicht gehalten , die viren hab mir eingehandelt als mein bruder es kurz aus hatte (zum zocken) [img]graemlins/headbang.gif[/img]

Hört sich jetzt vielleicht doof an aber ich hab von formatieren mit xp keine ahnung wie oben im thread schon beschrieben.hättest du villeicht ne kurzanleitun parat [img]graemlins/dummguck.gif[/img]

das mit backup von mir wichtigen dateien is klar und auch kein Prob, mir geht es nur um das formatieren an sich von wo aus und wie am besten

greetz Wurst

Hier ein Link:
http://www.computermagic.de/WebHelp/...indows_xp_.htm

Ansonsten kannst du ja unter www.google.de suchen.

Norton ist nicht schlecht. Es gibt aber bessere.
Wenn du aber noch eine gültige Linzenz von Norton hast, dann behalt se ruhig.
Wenn die Lizenz ausgelaufen ist, dann kann man ja noch über ein anderes Anti-Viren-Programm nachdenken.

Moin Wurst,

</font><blockquote>Zitat:</font><hr />...ich wieß genau wo die kleine Ratte ist kann sie aber nicht löschen...</font>[/QUOTE]Du hast weiter oben geschrieben, die 'kleine Ratte' versteckt sich im Ordner System32. Das 'Verstecken' könnte das Problem sein, dass Du sie nicht löschen kannst. Standardmäßig werden bei Windows-Betriebssystemen versteckte Dateien im Windows-Explorer ausgeblendet. Diese Option solltest Du falls nicht schon geschehen deaktivieren. Bei Win88 war/ist das im Explorer über Ansicht -&gt; Ordneroptionen -&gt; Ansicht -&gt; Versteckte Dateien. Ich muss 'zugeben' dass ich den genauen Weg bei XP aus dem Kopf nicht weiß und erst am Montag im Büro wieder nachsehen kann. Der Weg müsste aber analog rekonstruierbar sein (Da merkt man selbst mal wieder, wie 'betriebsblind' man im Laufe der Zeit wird und einfachste Dinge nicht aus dem Ärmel schütteln kann, wenn man sich beruflich mit sovielen Betriebssystemen herumschlagen muss.... )

Letztendlich würde ich Dir aber auch dazu raten, XP komplett neu aufzusetzen, da doch einiges auf dem Rechner zu finden war.
Einen guten Link dazu hat Dir *Christian* dazu ja schon geschrieben.
Wichtig bei einer Neuinstallation ist, das Du nicht gleich nach der frischen Installation von XP 'munter drauf los surfst'. Nach einer Neuinstallation sind zunächst einmal alle Sicherheitsupdates von Windows 'verloren' gegangen, die man im Laufe der Zeit ggf. über Windowsupdate gemacht hat. Ein Umstand, über den sich viele leider nicht im Klaren sind.

Als wirklich zwingend betrachte ich das Service-Pack 1 (sofern nicht im Installationsmedium schon enthalten) und die Patches gegen die 'RPC-Lücken' (Stichwort Blaster aka Lovsan). Das SP1 gibt es 'ständig' als Beilage zu Computerzeitschriften. Vielleicht hast Du noch eine entsprechende CD herumliegen oder kannst sie Dir bei einem Freund besorgen. Ansonsten versuch es mal im Kiosk, an einer Tankstelle, ...

Die Patches gegen die RPC-Lücken gibt es meines Wissens so nicht auf CD. Zumindest nicht als Heftbeilage. Es wäre gut, wenn Du Dir diese Patche auf einem anderen Rechner (Freund?) herunterlädst und auf CD brennst. Unser Boardmitglied nico4u hat hier eine sehr ausführliche Aufstellung gemacht, wo man die Patches herbekommt.
Erst nach diesen Patches würde ich mit dem Rechner online gehen und als allererstes ein komplettes Windowsupdate der Kategorie 'Wichtige Updates und ServicePacks' machen.

Anschließend solltest Du 'natürlich offline' den Virenscanner wieder installieren und aktualisieren. Da Du scheinbar noch eine gültige Lizenz von Norton-Anti-Virus hast, würde ich diesen Virenscanner zumindest zunächst wieder nehmen. Mittel- bzw. Langfristig würde ich Dir zu einen anderen Virenscanner raten. Meine persänliche Empfehlung ist Kaspersky (KAV). Aber dazu kannst Du mit der Suchfunktion des Board eine Menge hier finden. Wichtig ist zunächst, dass Dein Rechner wieder 'sauber' wird.

Ich bin kein großer Freund von einer Desktop-Firewall, deshalb lasse ich Norton-Internet-Security erst einmal außen vor.
Was Du mit so einer kostenpflichtigen 'Firewall' an Sicherheit erreichen kannst, kannst Du auch mit 'Boardmitteln' von XP erreichen. Ich denke hier insbesondere an das Schließen nicht benötigter Ports. Dazu findest Du über die Suchfunktion im Board später eine ganze Menge Tipps. Natürlich kannst Du auch gerne noch einmal nachfragen.

Als nächstes würde ich über Alternativen zum Internet-Explorer und zu Outlook (Express) nachdenken.
Als Browser benutze ich schon einige Zeit Firebird und und als Mailclient Thunderbird .
Wenn Du beides lieber in einem Paket haben willst, schlage ich Dir Mozilla 1.5 vor.

Du siehst, es gibt einiges zu tun, aber die (Zeit)-Investition lohnt sich.

tschööö, DerBilk

Werde ich das ganze Viehzeug los wenn ich meine Festplatte formatiere und Windoof-xp neu installiere. Wenn ja wie mach ich das, denn das letzte mal als ich ne platte formatieren musste war noch win3.1 und Dos aktuell. Da musste ich dann einfach im dos das ganze formatieren, aber da win-xp ja ein betriebssystem ist wird es sich weigern sich selbst zu löschen (dos eingabe fenster)da dor ja dos nur "simuliert" wird.

nicht hauen wenn ich falsch liege bin noch nicht so bewandert mit windows als betriebsystem da ich ne lange lange Computerpause hatte.

greetz Wurst

Mahlzeit,
ich schlug mich jetzt auch mehrere Tage mit dem Browser Hi-Jacker Trojan.Bookmarker herum. Nach etlichen fehlgeschlagenen Versuchen und unendlich vielen Installationen diverser Virenproramme bzw. Spywaretools ist es jetzt endlich gelungen diesem doch lästigen Tierchen mit einem tatsächlich nützlichem Tool den Garaus zu machen. Das Programm heisst "Cool Web Shredder". Man kann es sich kostenlos unter hxxp://www.spychecker.com runterladen.
Wichtig ist es, bevor man das Tool startet, alle Browserfenster zu schließen. Nachdem der Störenfried beseitigt wurde, fährt man den Rechner einmal runter. Nach erneutem Starten sollte selbst Norton nichts mehr zu meckern haben.

Ich möchte noch erwähnen, dass ich es auch vorher über das Entfernen diverser Registryeinträge (Anleitung von Norton) versucht habe. Nichts hat geholfen. Aber jetzt.....puh bin ich erleichtert!
Also Leute, bevor ihr eure Harddrives in den Lieferzustand versetzt und alle Daten zum Teufel sind, probiert es mal mit dem Teil aus.
Mir (bzw. meinem Rechner) hat´s geholfen.

Grüße von Pittenberg

Hey jungs danke für die Antworten, hier im Forum gefällt es mir ich glaub ich komm hir öfters mal vorbei (auch ohne Haustier ).Hier gibt es viele intressante Themen, so aber ich fang jetzt erst mal an meinen Pc neu aufzusetzten, hab ja Urlaub und es hat sich doch allerhand Mist angesammelt.

Achja Service pack 1 ist bei meiner Win Version mit enthalten und die patches müsste/sollte ich auch noch haben da ich mir sowas normalerweise
nochmal auf CD ziehe.

@pittenberg
Die anleitung zum beseitigen von Troj.bookmarker
ist für die füsse da er sich noch bevor du alles in der registry geändert hast schon wieder drinnsteht.Hatte mein Problem an symantec geschickt und die hatten mir noch en patch gegen die beta von Trojan.bookmarker geschickt, war aber zu spät

greetz Wurst