kleine parallele zu dme was nitro entdeckt hat hier werden einige angebliche HP dateien angezeigt im log von alucard http://www.trojaner-board.de/forum/u...c;f=6;t=005593
haben wir einige von t-online die ganz sicher keine sind

ich schau mal morgen weiter
danke schon mal an nitro

achso nochwas wieder @ nitro poste doch bitte dein log in einem eingenen thread
sonst wirds zu unübersichtlich

[ 16. Juni 2004, 23:35: Beitrag editiert von: Olo ]

Hallo zusammen,


Mich hat dieser Wurm auch erwischt. Ich habe auch schon alles mögliche ausprobiert und keine Ideen mehr.

Bei mir hat der Eintrag die gleiche Nummer am Ende: Hier mal das Logfile:


Logfile of HijackThis v1.97.7
Scan saved at 23:12:13, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\javazf32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\system32\ntvl32.exe
C:\Programme\Winamp\Winampa.exe
C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\wudmate.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSuma32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Starcraft\StarCraft.exe
C:\Anwendungen\Scanner und Viren\HijackThis.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe
O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe
O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...150.7555439815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab


Ist dieser Wurm denn schlimm ? Ich meine, macht er irgendwas, wenn ich die Einträge entfernt habe und den Internet Explorer nicht mehr verwende sondern z.B. den Netscape Navigator?

Jetzt im Moment sieht das Logfile folgendermaßen aus:


Logfile of HijackThis v1.97.7
Scan saved at 00:41:21, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\javazf32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ntvl32.exe
C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSuma32.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Anwendungen\Scanner und Viren\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe
O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...150.7555439815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83


Wäre es eine Möglichkeit einfach eine Weile zu warten bis es ein Tool gibt was den Wurm wirklich entfernt und nicht nur für 10 Minuten ?

Und in der Zwischnezeit nen anderen Browser zu verwenden, oder richtet der dann trotzdem etwas an ?


Vielen Dank für eure Antworten und vielleicht noch Ideen.

[ 17. Juni 2004, 01:44: Beitrag editiert von: DonStefano ]

Versuche das Cleaning Tool mal.
http://www.trojaner-info.de/cgi-bin/...i?file=sphjfix

Das sollte helfen!!!
Danach nochmal mit CWShredder.

tja schön wärs aber das habe ich auch schon ausprobiert. das ist zwar ein tool das einen wurm weg macht jedoch nicht den "#96676 wurm".
es kommt "nicht infiziert" obwohl das nicht stimmt.

mfg nitro

</font><blockquote>Zitat:</font><hr />Original erstellt von Olo:


</font>[/QUOTE]achso nochwas wieder @ nitro poste doch bitte dein log in einem eingenen thread sonst wirds zu unübersichtlich

schreib ich undeutlich oder hast du was gegen posts lesen DonStefano ??

( nich bös gemeint ;D )

also nochmal das teil scheint den namen zu ändern
MSuma32.exe zum beispiel is bei donstefano und ih wette darum das es malware ist
allerdings ist es zu aufwendig wenn nun jemand hier im board jedes log durchgeht
das könnt ihr auch selber machen
jeder prozess kann malware sein
prozesse die im system ordner sind und undbekannt sind zbsp kein einizger eintrag in google sind sehr verdächtig
die könnt ihr dann erstmal scannen sollte es keinen befund geben an antivirensoftware hersteller schicken
wie das geht steht auch oft genug hier im forum

bei fragen zu einzelnen files könnt ihr hier posten
wenn euch das zu aufwendig ist dann müsst ihr wohl warten bis ein remove tool erscheint

Lösung für #96676 Hijacker? Ich habe nach Suche in google folgendes US forum entdeckt, dort scheint "rrlover" gestern Nacht die Lösung für #96676 (Startseitenänderung) gefunden zu haben:
http://www.dslreports.com/forum/rema...8952~mode=flat

Er konnte im abgesicherten Modus mit trojan cleaner den "wurm" entfernen. Nachdem er sich in
dieser Nacht im Forum nicht mehr gemeldet hat, scheint es wohl zu klappen.
Kann mal jemand der PC Fit ist einen Blick auf den link werfen und prüfen was "rrlover" gemacht hat und wo bekomme ich trojan cleaner her?

probiers mal bei google oder hier im forum ich kenn das tool nicht ...
aber könnte funktionieren

Hallo zusammen,

@ OLO:
Deinen Hinweis, dass man ín dieses Posting nicht noch andere Logs posten soll habe ich in der Tat überlesen. Nach 10 Stunden erfolglosen Problemlösungsversuchen, etwa 30 Schachteln Zigaretten und totaler Übermüdung sei mir das um 2:00 nachts doch bitte ausnahmsweise verziehen

Außerdem dachte ich so kann man vielleicht Parallelen entdecken (bzw. ihr die mehr Ahnung von der Materie habt als ich z.B.), die bei der Lösung des Problems helfen können.

Schließlich haben wir ja alle dieses Problem gemeinsam mit der #96676. Und es scheint ja ein noch recht neues Problem zu sein.

Wollte jedenfalls gegen keine Regeln verstoßen und eröffne dann jetzt noch mal einen eigenen Thread zu meinem Problem mit dem Namen "Startseitenänderung mit #96676 und .exe Dateien"

Darin werde ich auch noch einmal einige Fragen stellen und würde mich freuen wenn du und auch gern jeder andere mir dort ein wenig weiter helfen würde.

Die Seite hier finde ich übringens eine super Angelegenheit - und vielen Dank für die Mühe die ihr euch macht "Viren und Trojanern Naivlingen" wie mir zur Seite zu stehen.