in den letzten tagen wollen sich immer wieder trojaner und dialer raufladen. ich lasse adaware, spybot s&d laufen, auch cws shredder.
wenn ich am nächsten tag wieder ins internet einsteige, oder vielleicht sogar schon davor, will sich z.b. beim besuch von www.imdb.com die datei sp.exe raufladen und ein ntsearch popup will auch aktiv werden. weitere trojaner, die auftauchen, obwohl sie gelöscht worden sind, sind etwa xwxload.exe.
ich bin ratlos, da ich adaware und spybot immer wieder durchlaufen lassen. deshalb hier mal mein HijackThis logfile:

Logfile of HijackThis v1.97.7
Scan saved at 08:02:26, on 06.04.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\IKAUTOUP.EXE
C:\IKARUS\GUARD9X\GUARD9X.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
D:\PROGRAMME\ADOBE\ACROBAT40\DISTILLR\ACROTRAY.EXE
E:\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\CWSHREDDER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O2 - BHO: (no name) - {2f83e700-4f15-11d7-942c-444553540000} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\SYSTEM\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [IKARUS Guard] C:\IKARUS\GUARD9X\GUARD9X.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat40\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = E:\Nikon\NkView6\NkvMon.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC00-000000000000} - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

bitte um hilfe, weil es kann nicht sein, dass das jeden tag wiederkehrt.

Hi,

- mach alle Windowsupdates
- benutze einen sicheren Browser, oder konfiguriere zumindest IE sicherer (ActiveX & scripting deaktivieren, außer für bekannte, sichere, saubere Seiten)

dann sehen wir weiter..

wo genau werden die Trojaner gefunden ? (jeweils trojanername & kompletter Pfad/Ordner-/Dateiname, s. AV-Report)

jetzt ist z.b. nur mal ein ntsearch popup gekommen. titel des popups war: <>hxxp://66.230.146.53/start.pl?id=1-2-3-AWM024&country=AT&callt=1&memz=teen&attempts<> und die die adresse (die man unter rechtsclick eigenschaften bekommt) war <>hxxp://www.ntsearch.com/euro_in.php?acc=zon6&ord=2189660<> - falls das weiteren untersuchungen dienlich ist.

ich habe dann wie oben empfohlen die active x optionen in der registerkarte sicherheit im IE auf deaktivieren bzw. eingabeaufforderung gestellt. das funktioniert natürlich, nur weiß man ja nie, ob das aktive x steuerelement für die seite benötigt wird oder nicht.
windowsupdate ist auch in etwa vollständig gemacht!
ansonsten liegen die trojaner meistens in C:\WINDOWS oder C:\WINDOWS\System (kaum in C:\WINDOWS\Temp)

nach adaware und spybot s&d bin ich grundsätzlich trojaner frei. irgendwo muss aber etwas liegen, sonst würde das ntsearch fenster ja nicht starten, was es ja auch nur bei verwendung bestimmter seiten tut, wie etwa imdb.com (und das ist ja an sich keine mit vorhersehbarem gefahrenpotential).

hier noch mal das letzte hijack this log:

Logfile of HijackThis v1.97.7
Scan saved at 19:02:51, on 07.04.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\MGACTRL.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\COLOR\HGCCTL95.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\INTERNAT.EXE
C:\PROGRAMME\ALCATEL\SPEEDTOUCH USB\DRAGDIAG.EXE
C:\WINDOWS\SYSTEM\IKAUTOUP.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\IKARUS\GUARD9X\GUARD9X.EXE
C:\PROGRAMME\MATROX MGA POWERDESK\QDESK\MGAQDESK.EXE
D:\PROGRAMME\ADOBE\ACROBAT40\DISTILLR\ACROTRAY.EXE
E:\NIKON\NKVIEW6\NKVMON.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DESKTOP\CWSHREDDER\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.utanet.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = UTA Telekom AG
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [internat.exe] internat.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Ikarus-AutoUpdate] C:\WINDOWS\SYSTEM\IKAutoUp.exe /LOG
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IKARUS Guard] C:\IKARUS\GUARD9X\GUARD9X.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat40\Distillr\AcroTray.exe
O4 - Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O4 - Startup: NkvMon.exe.lnk = E:\Nikon\NkView6\NkvMon.exe
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: AIM (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC00-000000000000} - hxxp://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38083.0493518518

AdAware und Spybot S&D sind keine AntiTrojaner-Programme, auch wenn sie mittlerweile welche finden mögen!

Streng genommen sind Trojaner nur Programme die was anderes vorgeben zu sein, wie sie es wirklich sind, bzw. eine anderen "Nutzen" zu haben vorgeben.
Frei nach dem Pferd von Troja, das vorgab ein nettes Geschenk bzw. Beutegut zu sein. Die wirklich Funktion war leicht anders


CWShredder mal laufen gelassen?


AFAIK kann dies übrigens gefixed werden:
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe

Ist ein MS-Bug, ich mach sowas zwar in der Registry aber ich glaube es geht auch über HiJackThis

[ 07. April 2004, 19:41: Beitrag editiert von: Shadow ]

Lad dir doch mal ein AntiViren-Programm herunter und lasse scannen.
Dann kannst du eventl. sagen, welcher Trojaner wo gefunden wird.

AntiVir ist auf deutsch und für den privaten Gebrauch kostenlos: www.free-av.de

antiviren programme erkennen nicht zwangsläufig alle trojaner (wie auch an anderer stelle in diesem forum vermerkt wurde). ich habe viele dateien druch die online untersuchung bei kaspersky lab laufen lassen. ich glaube also den großteil dadurch erwischt zu haben. habe eben auch spybot s&d, adaware und cws shredder laufen lassen.

es bleibt mir aber nach wie vor ein rätsel, warum das ntsearch popup nur bei bestimmten seiten startet und woher die abfrage nach dem dialer download dazukommt. das muss ja irgendwo in der registry stehen; und auch im startup bzw. autostart verzeichnis findet sich nichts verdächtiges.

[ 08. April 2004, 16:19: Beitrag editiert von: miguel ]

</font><blockquote>Zitat:</font><hr /> antiviren programme erkennen nicht zwangsläufig alle trojaner </font>[/QUOTE]Is schon klar, dass kein Programm alle Trojaner findet.
Aber mit Spybot und Ad-aware bist du bei Trojanern nicht gut bedient.

Wie bereits gesagt, ein AntiViren-Programm sollte jeder auf seinen PC haben.

Wenn du dir kein Programm downloaden willst, dann mach einen Online-Scan:
http://housecall.antivirus.com/housecall/start_corp.asp

also ist das falsch rüber gekommen. ich hab eh eins, das ich auch regelmäßig update. und das meldet mir eben auch nichts.

aber hat wer eine idee, wo so ein befehl sitzen könnten, der das popup (bei bestimmten seiten) aufruft??

Alle mal genau lesen was ich heute fast den ganzen Tag gemacht habe !!!

Ich hatte unter anderem auch diesen scheiß XWXLOAD.EXE drauf und er hat sich ebenfalls ständig wieder neu geladen, aber auch wenn ich auf keine Seite gegangen bin sondern einfach nur mim Internet verbunden habe.

Des Weiteren haben sich bei mir folgende Dateien eingeschlichen:

WMPLAYER.EXE (aber nicht der Mediaplayer, sondern ein zweiter File mit dem selben Namen, welche sich beim Systemstart genauso geladen hat wie der Mediaplayer selbst...was noch nie der Fall war.

XWXLOAD.EXE ist immerwieder aufgetaucht trotz dieser ganzen Spytools die ich bestimmt 10 mal suchen lassen hab.

Dann wollte sich neuerdings auch noch die MSHTA.EXE von Windows mit dem Netz verbinden. Die Darf auf keinen Fall gelöscht werden, dass er ins Netz will deutet nur dass ein Trojaner ihn benutzt !!! Also muss der Trojaner weg.

Dann kamen ständig Viruswarnungen, z.B. vb[1].exe
oder dd1.exe...

Ich bin fast verrückt geworden, weil kein Land mehr in Sicht war. Aber ich hab's alles platt gemacht.
Ich glaube, dass es sich bei mir um 2 paar Schuhe gehandelt hat, und zwar dieser 2te WMPAYER.EXE nennt sich W32AGOBOT ein Trojaner auf dem neusten stand, er legt sich selbst als WMPLAYER.EXE an. Er updatet sich selbst bei so ziemlich allen Spywaretools im Web und lässt sich einfach garnicht finden !!!
Dann schreibt er in alle Pfade der Registry unter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\... hier stand bei mir ganz unten ein Eintrag unter dem Wert der diesen WMPLAYER.EXE und dan natürlich auch den originalen ausgeführt hat. Aber nicht nur hier steht der Eintrag, sondern auch HKEY_CURRENT_USER und HKEY_USERS unter dem selben Pfad, also immer in Software\Windows...
Diese müsst Ihr alle löschen, dann löscht den neuen WMPLAYER.EXE... und Papierkorb leeren nicht vergessen ;o)

Dann wars bei mir mit dem Kameraden erledigt, aber der scheiß XWXLOAD.EXE tauchte immernoch auf.

Das beste war, obwohl ich über Zone Alarm den Zugriff verweigert habe hat sich ständig mein TempInternetFiles gefüllt und zwar mit irgendeinem Pornoscheiß...ich konnte 1000mal löschen und es kam wieder.
Was heißt das? Ganz einfach... er war noch aktiv, oder besser was anderes, denn woher kam denn dieser XWXLOAD.EXE immerwieder her ???

Jetzt passt mal auf:

Schon bei meinem ersten Problem mit dem Mediascheißndreck hab ich gesehn dass in meinem Taskmanager die gute alte RUNDLL32.EXE sogar zweimal aktiv war. 2mal ??? Wie geht denn sowas ?

Ich sags euch:
Normalerweise ist die in C:\Windows\System32
und hat als Icon so ein Blatt Papier...
Die 2te war aber nur in C:\Windows und hatte keinen Icon, oder diesen komischen ordner mit blauem Rand.
Also beim Papa geguckt wie dem seine aussieht und die andere gelöscht, natürlich erst nachdem ich den Prozess im Taskmanager beendet hatte.

Zur Sicherheit nochmal alles gelöscht was in den Temps stand inklusive dem beschissenen XWXLOAD.EXE und die Registry nach einträgen dieses Dings durchsucht, den auch da ist noch was drin.
Und zu guter letzt Adaware nochmal laufen lassen...und neustart...siehe da er ist clean und mein Sonntag war versaut :-(

Also Kameraden schaut nach ob vielleicht eine andere neue Windows-Datei der Quell eures Problems ist und seht nach was mit der RUNDLL32 bei euch los ist, den die hat eigentlich immer zugriff ins Web und muss meistens nicht mehr fragen...

ich hoffe ich konnte helfen und wünsche viel Glück beim sauber machen von diesem neuen Scheiß, ich habs hinter mir und geh jetzt ins Bettchen !!!

Greets
YOUR CARBON !!!