Mein Freund der Trojaner

martinus · 24.06.2004, 12:14

Tja,hab jetzt auch Gesellschaft bekommen.Bei mir heißt die neue Startseite "A Search System".
Und die Grusskarte vom ungebetenen Besucher strahlt mich bei jedem Hochfahren des computers an!...pfad "monitor.exe" nicht gefunden.
Probiert habe ich ALLES was das Netz so hergibt:Kollektive Unfähigkeit...(und ich bin der Chef des ganzen)Der Rudi Völler des hijackerteams!
Ich werde das Gefühl nicht los,das Trojanerbauer&Virenscanprogrammschmiede irgendwie im gleichen Boot sitzen.Ohne den Einen ist der Andere überflüssig.
Teamwork eben!
Fazit:In der Vorrunde gescheitert! [img]graemlins/headbang.gif[/img]

design-willy · 24.06.2004, 12:39

Hallo martinus,

um bei deinen Worten zu bleiben
<blockquote>Zitat:<hr />Bei mir heißt die neue Startseite "A Search System".
[/QUOTE]bedeutet 1:0 für die Anderen!

Mach doch mal einen logfile und lass uns sehen ob wir noch den Ausgleich vor der Pause schaffen!

Gruss Willy

martinus · 24.06.2004, 13:43

Hallo Willy!

Das nenne ich SPORTSGEIST!! [img]graemlins/daumenhoch.gif[/img]

Viel Spass damit!!
Logfile of HijackThis v1.97.7
Scan saved at 14:38:58, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\monitor.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\msdtc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tanja\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Tanja\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...108.3276388889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F167A4CC-CA55-4578-B11B-15A36C3E24D0}: NameServer = 217.237.151.225 194.25.2.129

Jetzt bin ich ganz gespannt auf die 2.Hälfte!!

mmk · 24.06.2004, 13:49

C:\WINDOWS\monitor.exe

Sende diese Datei bitte mal an die beiden in meiner Signatur genannten Mailadressen. Es scheint sich um eine noch nicht erkannte Malware zu handeln, die u.a. auch den Signaturen des von dir genutzten Kaspersky hinzugefügt werden sollte.

martinus · 24.06.2004, 14:10

Habs gerade gemailt!!Neues VIRUS!!??-kriegt das dann meinen Namen? So wie bei den Biologen??

mmk · 24.06.2004, 14:12

Ja, du hast mir nochmal das hier bereits ersichtliche LogFile geschickt. Ich meinte aber die Datei monitor.exe (einfach als Dateianhang einer Mail anfügen).

Kpt.B. · 24.06.2004, 14:21

<blockquote>Zitat:<hr />Original erstellt von martinus:
...Neues VIRUS!!??-kriegt das dann meinen Namen? So wie bei den Biologen??

[/QUOTE]

Kpt.B.

Nangie · 24.06.2004, 14:44

@ Kpt. B.

martinus · 24.06.2004, 14:57

Der CLOU ist,ich hab' selber auch einen "Virus",so mit Husten,Fieber,Kopping usw-nich' das ich mich beim RECHNER angesteckt habe,oder bei der DEUTSCHEN NATIONALMANNSCHAFT-die hat ja ebenfalls voll die Seuche.. [img]graemlins/balla.gif[/img]

Nangie · 24.06.2004, 15:37

@ martinus

<blockquote>Zitat:<hr /> Der CLOU ist,ich hab' selber auch einen "Virus",so mit Husten,Fieber,Kopping usw-nich' das ich mich beim RECHNER angesteckt habe, [/QUOTE]Ich denke wohl nicht

Gute Besserung

martinus · 24.06.2004, 16:01

@nangie:
Danke,es ist schon viel besser!!! [img]graemlins/crazy.gif[/img]

mmk · 24.06.2004, 16:07

So, danke für die Zusendung - es ist in der Tat eine noch nicht in den Signaturen der AV-Programme erfasste Schadsoftware. Mach Folgendes:

1.) Drücke zugleich die Tasten Strg Alt Entf, somit rufst du den Taskamanger auf.
2.) Markiere dort den laufenden Prozess der monitor.exe. Beende dann diesen markierten Prozess mittels Klick.
3.) Geh in C:\Windows, und lösch die Datei monitor.exe.
4.) Starte HijackThis, wähle "Scan".
5.) Markiere sodann die folgenden Einträge durch Setzen eines Häkchens:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h+tp://195.225.176.14/

F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe

O13 - DefaultPrefix: h+tp://195.225.176.14/pre.pl?
O13 - WWW Prefix: h+tp://195.225.176.14/pre.pl?

Klick anschließend auf "Fix checked".

Nun müssten - zumindest die offensichtlichen - Malwaredateien gelöscht sein. Ein Restrisiko bleibt nach einer solchen Infektion aber immer, dass etwas nicht entdeckt wird.

Zudem empfehle ich dir präventiv einen anderen Browser:

http://mozilla-europe.org/de

martinus · 24.06.2004, 17:04

Das war ein Volltreffer! MAGIC MARKUS STRIKED!!!

Diesen Plagegeist bin ich los!!!
1000 Dank!!!!! [img]graemlins/huepp.gif[/img]

mmk · 24.06.2004, 17:19

Freut mich, dass es geklappt hat - aber letzlich doch ohne jede Magie.

Danke für den Einsand der Datei, somit können ggf. auch noch andere von der Erfassung in den Signaturen profitieren, u.a. bei diesem Tool:

http://www.trojaner-board.de/forum/u...c;f=6;t=005602

mmk · 24.06.2004, 19:28

monitor.exe = Trojan.Win32.StartPage.in

24.06.2004, 14:21	#7
Kpt.B. Doppelaccount	Mein Freund der Trojaner </font><blockquote>Zitat:</font><hr />Original erstellt von martinus: ...Neues VIRUS!!??-kriegt das dann meinen Namen? So wie bei den Biologen?? </font>[/QUOTE] Kpt.B.

Mein Freund der Trojaner

Log-Analyse und Auswertung: Mein Freund der Trojaner