Hallo,

Habe mir eine Trojan ZLOB eingehandelt. Wahrscheinlich ist er er entferrnt durch Anwendung verschiedener Programme.

Dennoch erscheint beim Aufruf einer Webseite ein Popupfenster: Microsoft Internet Explorer, Warnung vor W32Mycor.Fk. Bricht man ab, so öffnet sich eine Webseite : http://malwarewipe.com/?rip = 246, über ein Malwareprogramm.

Nichts Gefährliches, aber trotzdem unangenehm.

Meine 5 einschlägigen Programme zeigen alle nichts an.

Vielleicht gibt Hijack einen Hinweis, wo sich dieser listige Störenfried versteckt.

Danke!

Logfile of HijackThis v1.99.1
Scan saved at 12:29:12, on 07.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\BLITZ\S_CENTER.EXE
C:\BLITZ\S_Menue.exe
C:\KAMERA\KAMERA.EXE
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
E:\HijackThis\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.altavista.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp
O2 - BHO: CNisExtBho Class - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Verknüpfung mit S_CENTER.lnk = C:\BLITZ\S_CENTER.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Scan link by Dr.Web - http://www.drweb.com/online/drweb-online-en.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/yinst20040510.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124878939640
O17 - HKLM\System\CCS\Services\Tcpip\..\{19675FDF-CCBB-4F1C-939C-E113E53439D1}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{91CF2F07-E54E-431F-A4C6-2DB3A9BA1CCA}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{AE60CE46-C8A7-4F46-9B82-19496EE1E875}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{D27C2532-DA3F-4ADD-848E-852B5E0FB915}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{19675FDF-CCBB-4F1C-939C-E113E53439D1}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{19675FDF-CCBB-4F1C-939C-E113E53439D1}: NameServer = 195.3.96.67,195.3.96.68
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo Realist,

Zitat:

Habe mir eine Trojan ZLOB eingehandelt. Wahrscheinlich ist er er entferrnt durch Anwendung verschiedener Programme.

Wahrscheinlich nicht.Welche Programme hast du angewendet ?
Das Programm Spybot öffnen,Reiter "Modus" klicken und auf erweiterten Modus schalten,links unten "Werkzeuge" klicken,auf der Sidebar "BHO"klicken
Entferne dieses :

Zitat:

O2 - BHO: (no name) - {5f4c3d09-b3b9-4f88-aa82-31332fee1c08} - C:\WINDOWS\system32\hp100.tmp

Starte mit Post Nr.12 von dieser Seite :http://www.trojaner-board.de/showthr...t=29926&page=2
Irrlicht

Hallo Irrlicht,

Dieser Eintrag schien mir auch komisch.

Habe ihn mit Spybot entfernt.

An einschlägigen Programmen verwende ich AdAware, Spybot, Pestpatrol, cureit, s-squared, Hijackthis und Spysweeper. Allerdings nur die kostenlosen Teile.

@Realist,

hast du das nun schon durchgeführt? --> SmitfraudFix ???
Poste dann anschliessend den Report von SmitfraudFix..

Gruß
Daniel

EDIT: Moin Irrlicht..

@sunny

Hier der Report von SmirFraudFix, nachdemm ich einige Einträge mit 2 gelöscht habe:

SmitFraudFix v2.68b

Scan done at 19:48:13,07, 07.07.2006
Run from F:\Viren und Trojaner\SmitfraudFix\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"altmannsberger"="{210b4043-35ca-4aa0-8796-191f9663dfb3}"


»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\dxole32.exe Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\stdole3.tlb Deleted
C:\WINDOWS\system32\1024\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




inevitably - unvermeidlich...... was heißt das in der Praxis ?

@Realist,

treten denn jetzt noch irgendwelche Probleme nach der Bereinigung auf?

Hallo Realist,
gibt es einen Grund für diesen Eintrag bzw.ist der dir bekannt ?
C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
Irrlicht

@sunny

momentan sind keine Problermr vorhanden, funktioniert alles normal


@irrlicht.

Ich verwende das Programm Pinnacle Studio 9. Wahrscheinlich ist die Datei
von diesem Programm.

Ich nehme an, daß nun alles Problöeme beseitigt sind und danke allen, die mir geholfen haben.

Hallo Realist,

Zitat:

c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe

jep,hieran hätte ich es sehen können.....
Irrlicht

Es läßt sich noch immer keine Störung erkennen.

Zur Vorsicht habe ich noch mit E-Scan gescannt.

Gefundene Viren: 0

Was heißt Anzahl der Fehler: 205 ???????

Einen Eintrag kann ich auch nicht deuten:


Sun Jul 09 12:35:00 2006 => Local Fixed Drives: c:\,d:\,e:\,f:\,i:\,j:\,k:\,l:\,m:\,n:\,o:\,p:\,q:\
Sun Jul 09 12:35:00 2006 => MWAV Mode: Only Scan files.
Sun Jul 09 12:35:00 2006 => Latest Date of files inside MWAV: 08 Jul 2006 08:10:16.
Sun Jul 09 12:35:00 2006 => Regvalue RestrictAnonymous Reset. This could be part of a worm!!!
Sun Jul 09 12:35:04 2006 => AV Library Loaded...
Sun Jul 09 12:35:04 2006 => MWAV doing self scanning...


Wasist "RestrictAnonymous Reset" ?

Hallo Realist,
hier kannst du englisch :

Zitat:

inevitably - unvermeidlich

und hier nicht mehr ?

Zitat:

Regvalue RestrictAnonymous Reset. This could be part of a worm!!!

Zitat:

Regvalue

=Registrierungswert
Ich denke du hast die falsche EScan version verwendet,denn eigentlich solltest du mit Hilfe der "Find bat" posten...
Hier die Anleitung :
http://www.trojaner-board.de/showthread.php?t=24192
Irrlicht

Hallo irrlicht,

meinme Frage war 1/ was sind bei E-Scan "Fehler".

zu regvalue = Wert.....:

das verstehe ich schon. Aber ich bin mit der Registry nicht sehr vertraut imd mir sagt: "Restrict Anonimous Reset" leider gar nichts.

Im übrigen: wer hier
eister ist, braucht für die Beöehrung der "Unwissenden" sicher viel Geduld.
Alleerdings, wenn ich viel weiß, brauch ich dieses interessante und hilfreiche Forum nicht.

Ich habe schon einmal neu aufgesetzt. Ist eine hundsarbeit, da werkle ich doch lieber einige Stunden mit der Beseitigung der üblen "Gäste". Anscheinend ist es mir mit Hilfe der "Wissenden" ganz gut gelungen. Störenfriede sind jedenfalls keine zu erkennen. Entweder sind sie verjagt oder sehr kleinlaut geworden.

Hallo Realist,
einer der vielen Sinne und Zwecke dieses Forums ist es,"Unwissende" zu "Wissenden" zu machen....:aplaus:
Sieh es mal so :
Ich kann dir einen Fisch geben wenn du hungrig bist.Morgen bist du wieder hungrig und ich gebe dir wieder einen Fisch.Das können wir fortsetzen bis einer von uns das Zeitliche segnet.Bin ich es ,hast du Pech.Dann wirst du verhungern.
Also bring ich dir doch besser fischen bei,dann kannst du deinen eigenen Zander fangen.Dir wäre die Angst vor einem Hungertod genommen und ich könnte den nächsten Angelkurs geben.
Der Link den ich dir oben gegeben habe ,führt dich zur "richtigen" EScan Version.Da ist eine Anleitung und der Download dabei.Wenn du die Anleitung beachtest,wirst du Mithilfe der "Find bat" ein Log erhalten.Dieses stellst du hier ein und wirst dann die Meinung der "Wissenden" dazu hören.

Zitat:

Was heißt Anzahl der Fehler: 205 ???????

Das läßt sich aus dem Log lesen
Ansonsten kann man nur raten oder in die Glaskugel sehen..
Irrlicht

Hallo irrlicht,

Meine Bemerkungen waren nichgt sarkastisch gemeint, sondern ehrlich. Ich habe mich ja auch schon 2 x bei denen bedankt, die mir Ratschläge erteilt haben. Und sicher habe ich dabei gelernt, denn momentqan schient alles in Ordnung zu sein.

Wie schwer es ist, Fragen von Kinern zu beantworten, weiß ich als Vater von 3 Kindern und Großvater von 7 Enkelkindern bestens.

!!!Attention, following keys are not inevitably infected!!! , was das zu bedeuten hat, wurde nicht erklärt.

Und was "Fehler" sind erklärt das log auch nicht.


Zu escan: Habe den Link benützt und alles hat so <ausgeschaut wie in " Was istr eScan AntiVirus.

Nur hat er ja kleine Virusinfektion angezeigt. Nur im Log habe ich den unverständlichen Absatz mit "Regvalue" gelesen und hier wörtlich geschrieben.

Hallo Realist,

Zitat:

Ich habe mich ja auch schon 2 x bei denen bedankt,

Das wurde auch zur Kenntnis genommen

Zitat:

Wie schwer es ist, Fragen von Kinern zu beantworten, weiß ich als Vater von 3 Kindern und Großvater von 7 Enkelkindern bestens.

Wem sagst du das... ..bin "Besitzer" von drei kleinen Neffen..
Nochmal :
Dieser Link enthält sowohl den Download als auch eine Beschreibung.
http://www.trojaner-board.de/showthread.php?t=24192
Wenn du Mithilfe von Haui`s Datei das Log erstellst,werden die Fehler zu sehen sein.
Hinweis : Ganz unten auf der Seite sind mehrer "rote Punkte".Der wichtige für dich ist Punkt 5. Die "find.zip",ebenfalls wichtig die "Winrar" das Entpackungsprogramm.Fahre mit der Maus über die farblich markierten Sachen,darunter liegt jeweils was du brauchst.
Die Anleitung kann man auch ausdrucken und daneben legen,beim Arbeiten.
Ich vermute stark das du die falsche Version heruntergeladen hast.Ja,es gibt mehrer Versionen.
Schau dich mal in den anderen Threads um,wie so ein EScan-Log aussieht.
Lösche deine runtergeladene Version,bevor du beginnst.
Irrlicht