Hallo allerseits )

Ich habe ein Problem mit dem oben genannten Trojaner. Mit HijackThis kann ich zwar den Eintrag des Trojaners löschen aber er wird bei jedem neuen Start wieder neu installiert. Weiterhin hab ich schon in der Regestrie bei HKLM/.../RUN alle möglichen Einträge gelöscht die mir verdächtig vorkgekommen sind, aber der Trojaner wird immer wieder neu installiert.

Durch AntiVvir wird mir der Trojaner auch immer angezeigt und ich gebe an er soll gelöscht werden was aber mangels eines glockten Programmes in dem er sich versteckt nicht möglich ist. Auch wenn ich, wie es gefordert ist, direkt nach AntiVir den PC neu starte kann der Trojaner nicht gelöscht werden. Ich stelle euch ein Protokoll (soeben erstellt)von HijackThis ein. Ich hoffe ihr erkennt etwas was ich übersehen habe.

Hier das Protokoll: Der Virus ist der Eintrag im IE (213.159.117.132/index.phb) der Eintrag kommt insgesamt 6 mal vor.

Logfile of HijackThis v1.97.7
Scan saved at 11:57:21, on 29.06.04
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\AOL 8.0\AOLTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\AVPERSONAL\INETUPD.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von AOL
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: AOL 8.0 Tray-Symbol.lnk = C:\Programme\AOL 8.0\aoltray.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O13 - DefaultPrefix: http://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: http://%65%68%74%74%70%2E%63%63/?
O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de/e55/

NUN DIE FRAGE ALLER FRAGEN WO VERSTECKT SICH DAS PROGRAMM WELCHES DEN VIRUS IMMER WIEDER NEU INSTALLIERT ???

Hallo langer und Willkommen,

lade Dir bitte eScan herunter (zu finden in meiner Signatur).
Boote dann im abgesicherten Modus den Rechner neu und 'fix'e die folgenden Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://213.159.117.132/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = ht*p://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h*tp://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.132/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = ht*p://213.159.117.132/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = h*tp://homepage.com
%00@www.e-finder.cc/search/ (obfuscated)

O13 - DefaultPrefix: h*tp://%65%68%74%74%70%2E%63%63/?
O13 - WWW Prefix: h*tp://%65%68%74%74%70%2E%63%63/? </font>[/QUOTE]Anschließend scanne Deinen Rechner mit eScan (Update wie im Link beschrieben nicht vergessen!), weiterhin im abgesicherten Modus.


Außerdem solltest Du Dich mal in einer ruhigen Minute mit dem anderen Link in meiner Signatur befassen...

TASKMON.EXE bitte auf folgender site checken lassen:

http://www.kaspersky.com/de/scanforvirus

bzw. auch mal schauen ob du folgende einträge in deiner reg findest:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"Taskmon"="%System%\taskmon.exe"

gruss radja

@ Lutz:

Ich habe Kasperski. Kann ich gleichzeitig auch eScan installieren und dann eScan laufen lassen?

@ lutz:

erkennt escan automatisch die rundll.exe und taskmon.exe oder ist es besser die beiden von hand zu entfernen sofern sie vom wurm überschrieben wurden??

</font><blockquote>Zitat:</font><hr />Original erstellt von jim2005:
@ Lutz:

Ich habe Kasperski. Kann ich gleichzeitig auch eScan installieren und dann eScan laufen lassen? </font>[/QUOTE]Zumindest auf meiner WIN98-Möhre mit KAV 4.5 klappt das ohne Probleme. Da aber beide Scanner auf die gleichen Virensignaturen zugreifen, ist dies eigentlich 'sinnfrei', vorrausgesetzt man nutzt jeweils die akutellsten Signaturen.

</font><blockquote>Zitat:</font><hr />Original erstellt von Radja:
@ lutz:

erkennt escan automatisch die rundll.exe und taskmon.exe oder ist es besser die beiden von hand zu entfernen sofern sie vom wurm überschrieben wurden?? </font>[/QUOTE]rundll.exe und taskmon.exe müssen unter win9x-Systemen nicht zwingend Malware sein. Ich würde diese Dateien nicht löschen, solange sie nicht eindeutig als infiziert erkannt werden.

Ein Online-Scan bei Kaspersky wird imho kein anderes Ergebnis bringen als ein (aktuelles) eScan...

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
rundll.exe und taskmon.exe müssen unter win9x-Systemen nicht zwingend Malware sein. </font>[/QUOTE]Stimmt! Habe jedoch gelesen, dass sie unter umständen überschrieben werden. Stimmt das?

</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
Ein Online-Scan bei Kaspersky wird imho kein anderes Ergebnis bringen als ein (aktuelles) eScan... </font>[/QUOTE]..also was tun??

</font><blockquote>Zitat:</font><hr />..also was tun?? </font>[/QUOTE]Erst einmal die Ergebnisse von langer abwarten, würde ich sagen...

Hallo da bin ich mal wieder :-))

Da ich auf dem infizierten Rechner den Beitrag von LUTZ leider nicht ausdrucken konnte, habe ich das ganze erst jetzt auf der Arbeit machen können. Ich habe mir auch erst jetzt das Programm "eScan", von Lutz empfohlen, herunterladen können, auch das war von dem infizierten Rechner nicht möglich. Ich danke vorab schon mal für die guten Beiträge und die Hilfe von euch allen. Wenn ich das Programm über den Rechner hab laufen lassen, dann poste ich natürlich die Ergebnisse hier. Soweit mal wieder von mir. Bis zum nächsten mal.

CIAO