| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner Lamedon.BWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
31.05.2004, 14:19
| #1 |
 |  Trojaner Lamedon.B Hallo zusammen, nach langer Suche und keinem Erfolg.... eine Frage an die Profis hier: Mein AVG-Scanner zeigt mir einen Trojaner Lamedon.B in einer Datei in c:\windows\dl~1.htm an er bereinigt den Trojaner und beim nächsten Start ist er wieder da.... zusätzlich bekomme ich beim Start vom IE eine völlig andere HP die sich nicht ändern lässt in den Einstellungen des IE auch nicht wenn ich sie in der registry geändert habe... Wer kann mir weiter helfen?? Cookies, temp Internetdateien hab ich alles schon gelöscht. ebenso die Systemwiederherstellung von Windows ME.....keinen Erfolg Viele Grüße und Danke randypit |
|
31.05.2004, 15:33
| #2 |
| |  Trojaner Lamedon.B Am besten benutze doch mal das Tool HijackThis und poste uns ein Logfile hier rein. Es kann durchaus sein das du Malware drauf hast, insbesondere einen
__________________Browser Hijacker. Bitte hier das Tool HijackThis runterladen... http://www.chip.de/downloads/c_downloads_11353576.html Dieser Anleitung folgen http://www.trojaner-board.de/51130-a...ijackthis.html und Log hier reinsetzen.
__________________ |
|
31.05.2004, 15:41
| #3 |
| | Trojaner Lamedon.B Hi remover
__________________hab hier die log-Datei von Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 16:39:08, on 31.05.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE C:\WINDOWS\EXPLORER.EXE C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFOSDW.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\WINDOWS\LOADQM.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE C:\WINDOWS\RUNDLL32.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM32\WINTIME.EXE C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\LWPETER\TREIBER\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1&1 Internet AG R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.1und1.com/b1redirect F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\CFOSDW.EXE O2 - BHO: (no name) - {AAFBC1B6-B365-48F5-8584-354AB115F5A7} - C:\WINDOWS\SYSTEM\PZDICJQE.DLL O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62" O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE" /background O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra button: Real.com (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: Translator (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.com/b1redirect O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: Yahoo! Chat - http://cs6.chat.sc5.yahoo.com/c381/chat.cab O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {9CCE3B43-4DE0-4236-A84E-108CA848EE6A} (WebCam Control) - http://www.webcamnow.com/broadcast/ActiveXWebCam.cab O16 - DPF: {90C9629E-CD32-11D3-BBFB-00105A1F0D68} (InstallShield International Setup Player) - http://www.installengine.com/engine/isetup.cab O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...130.2804861111 Bei der Startseite für den IE müsste normalerweise etwas anderes stehen www.start1und1.de o.ä. Den Trojaner hab ich mittlerweile entfernen können nur die Startseite beim IE stimmt immer noch nicht! Gruß randypit |
|
31.05.2004, 15:56
| #4 |
| | Trojaner Lamedon.B ups hab gelogen [img]graemlins/heulen.gif[/img] die Meldung mit AVG kommt immer noch C:\WINDOWS\DL~1.HTM Trojan horse Downloader Lamedon.B Healed ok die Datei ist abr im Verzeichnis nicht zu finden....auch nicht versteckt ????? Bin ich denn doof?? Grüße randypit |
|
31.05.2004, 16:04
| #5 |
  | Trojaner Lamedon.B Hi randypit, hinter h**p://213.159.117.132/ verbirgt sich coolwebsearch. Eine 'Suchmaschine' auf die -sagen wir es mal vorsichtig- viele BrowserHijacker umleiten. Schau Dich bitte mal hier um: http://www.trojaner-info.de/hijacker/index.shtml
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
31.05.2004, 17:20
| #6 |
| | Trojaner Lamedon.B Hallo Lutz, hab grade versucht über ad-aware das Problem zu beheben. Er findet was löscht es. Auch HijackThis findet was löscht es und dann ist es beim Nächsten Mal grad wieder da Ich weiss nix mehr wer kann mir noch weiterhelfen ???? Nach jedem Neustart des IE hab ich über den Virenscanner auch wieder diesen Trojan horse Downloader Lamedon.B wieder drauf der sich auf einer Datei befindet, die sich aber nicht anzeigen lässt auch nicht bei Aktivierung Alle Dateien anzeigen in der Systemsteuerung HILFE Wer rettet mich??? Grüße randypit |
|
31.05.2004, 18:50
| #7 |
| | Trojaner Lamedon.B Probiere noch den CWShredder (Link findest Du auf der vorher von mir gelisteten Seite). Zusätzlich kannst Du noch dieses Free eScan Antivirus Toolkit Utility im abgesicherten Modus über Deinen Rechner 'jagen'.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
31.05.2004, 18:51
| #8 |
 | Trojaner Lamedon.B </font><blockquote>Zitat:</font><hr />Original erstellt von randypit: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php O2 - BHO: (no name) - {AAFBC1B6-B365-48F5-8584-354AB115F5A7} - C:\WINDOWS\SYSTEM\PZDICJQE.DLL O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe O16 - DPF: {f760cb9e-c60f-4a89-890e-fae8b849493e} - </font>[/QUOTE]Hi, - bitte arbeite den Link von Lutz nochmal durch.. - obiges unter R0 & R1 genanntes fixen die O2 & O4 Einträge mit KAV (s.u.) scannen, bzw fixen - Info Lamedon.B: http://www.virusbtn.com/resources/vg...on.b&product=3 *** 1) --> Ad-aware, spybot und cwshredder installieren, updaten Dann im abgesicherten Modus (F8-Boot) scannen und bereinigen lassen (Links: von http://www.lurkhere.com/~nicefiles/index.html bzw www.lavasoft.de (bei hartnäckigen Fällen hilft manchmal: - RESTORE=SWH deaktivieren: http://www.systemwiederherstellung-deaktivieren.de - im abgesicherten Modus (F8-Boot) neu starten; - dort scannen und bereinigen mit obigen Tools - auch gut einzusetzen im Abges. Modus: Escan/KAV von: ftp://ftp.microworldsystems.com/download/tools/mwav.exe Entweder so laufen lassen, oder ggfs. mit WinRAR o.ä. in einen separaten Ordner entpacken; Dort dann "mwavscan.com" aufrufen 2) ALLE Startaufrufe prüfen, ob's was bösartiges oder unnötiges ist & ggfs. bereinigen: mit Log-Datei von Hijackthis http://www.trojaner-board.de/51130-a...ijackthis.html (deutsche Anleitung) http://www.spywareinfo.com/%7Emerijn/htlogtutorial.html (english tutorial) in Kombination mit: a) Datenbank http://www.sysinfo.org/startuplist.php oder OFFLINE: http://www.pacs-portal.co.uk/startup.../start_ups.exe oder http://www.windowsstartup.com/wso/search.php & http://www.reger24.de/processes.php & www.google.de b) KAV-Scanner (s.u.) Falls es dann noch probleme gibt, neues log hier posten --> Scannen und bereinigen/fixen geht ggfs. besser im abgesicherten Modus (F8-Boot) weitere Details/Links: Forensuche |
|
01.06.2004, 17:17
| #9 |
| | Trojaner Lamedon.B Hallo noch einmal! Es will immer noch nicht klappen. Nachdem ich die ganzen Tips von Lutz durchgeführt habe scheine ich zwar den trojaner los geworden zu sein!! aber den Browser Hijacker hab ich immer noch..ich werd die url nicht los! Hier nochmal die log-datei von HijackThis: Logfile of HijackThis v1.97.7 Scan saved at 18:16:39, on 01.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\LWPETER\TREIBER\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = http://ie.search.msn.com/{SUB_RFC176...t/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC176...t/srchcust.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62" O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) Wer kann mir noch weiter helfen?? Ad-aware, spybot und csw-shredder hab ich durchgeführt?? Vielen Dank randypit |
|
01.06.2004, 17:23
| #10 |
| | Trojaner Lamedon.B Noch ein Anhang. Kann es mit einer dieser Dateien zu tun haben?? C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE Wie find ich das raus oder wofür sind die da? Grüße randypit |
|
01.06.2004, 18:03
| #11 |
| | Trojaner Lamedon.B Hi randypit, </font><blockquote>Zitat:</font><hr /> Nachdem ich die ganzen Tips von Lutz durchgeführt habe...</font>[/QUOTE]Was genau hast Du denn bisher unternommen? Und was passiert, wenn Du jetzt diese ganzen Einträge mit HijackThis 'fixt'. </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = h**p://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = h**p://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm </font>[/QUOTE]Kommen die nach einem Neustart immer noch wieder? Außerdem scheint es, als wenn bei dem Log der Rest fehlt...
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
01.06.2004, 18:12
| #12 |
| | Trojaner Lamedon.B </font><blockquote>Zitat:</font><hr />Original erstellt von randypit: Noch ein Anhang. Kann es mit einer dieser Dateien zu tun haben?? C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE Wie find ich das raus oder wofür sind die da? </font>[/QUOTE]Wnn das die Originaldateien sind, sind die harmlos, bzw. notwendig. Starte mal den WindowsExplorer und navigiere in den Ordner C:\Windows\System. Dort machst Du einen Rechtsklick auf die jeweilige Datei. Unter Eigenschaften -> Version findest Du einige Angaben zu der jeweiligen Datei.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
01.06.2004, 18:12
| #13 |
| | Trojaner Lamedon.B Hallo Lutz, hab die Tips die du und who cares mir gegeben haben durchgeführt reboot /abges. modus / gescannt mit ad aware, spybot, csw und die von dir angeführten links schon zum x-ten mal gefixt beim nächsten IE-Start...was guckst du sind die links wieder da.. Was könnt noch helfen? Also von dem log-file dürfte nix fehlen..hab alles in datei ausgegeben. >alles markieren< hier wieder eingefügt da isses Gruß randypit |
|
01.06.2004, 18:13
| #14 |
| | Trojaner Lamedon.B hier nochmal der frisch gescannte log: Logfile of HijackThis v1.97.7 Scan saved at 19:14:49, on 01.06.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\MIXER.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\E_S10IC2.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOFFICE.EXE C:\WINDOWS\RUNDLL32.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\PROGRAMME\MAXIEMIZER\MAXIE.EXE C:\PROGRAMME\ADOBE\ACROBAT 5.0\DISTILLR\ACROTRAY.EXE C:\PROGRAMME\OFFICE MOUSE\1.1\MOUSE32A.DAT C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\LWPETER\TREIBER\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\GRISOFT\AVG6\avgcc32.exe /STARTUP O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Office mouse\1.1\moffice.exe O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [EPSON Stylus C62 S (Kopieren 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P31 "EPSON Stylus C62 S (Kopieren 2)" /O5 "LPT1:" /M "Stylus C62" O4 - HKLM\..\Run: [EPSON Stylus C62 Ser (Kopie 2)] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P30 "EPSON Stylus C62 Ser (Kopie 2)" /O7 "154 DSL" /M "Stylus C62" O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: MaxIE.lnk = C:\Programme\MAXIEMIZER\MaxIE.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: Action Manager 32.lnk = C:\Programme\ScannerU\AM32.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) |
|
01.06.2004, 18:17
| #15 |
| | Trojaner Lamedon.B Ich sehe gerade, du kannst noch einen OnlineScan bei TrendMicro probieren -> http://housecall.trendmicro.com/ machen. Lt. deren Beschreibung ist ein javascript dafür verantwortlich. -> http://www.trendmicro.com/vinfo/viru...e=JS_LAMEDON.B Falls noch (oder wieder) aktiv, deaktiviere bitte zunächst erst wieder die Systemwiederherstellung. Nachtrag: Wenn der OnlineScan etwas findet, poste es bitte hier. Damit wir ggf. anderen schneller helfen können. Danke!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
| Themen zu Trojaner Lamedon.B |
| andere, bereinigt, c:\windows, datei, dateien, einstellungen, frage, gen, geändert, hallo zusammen, helfen, inter, interne, internetdateien, langer, nicht, profis, registry, start, suche, systemwiederherstellung, temp, troja, trojaner, windows, zusammen, ändern |
Linear-Darstellung
