hallo,

ich habe ein problem, ich betreibe ein internetcafe und einer meiner lieben kunden ist gewissen seiten umhergegangen und hat sich ein wurm oder trojaner eingefangen. seitdem habe ich ein problem mit der startseite, jedesmal wenn ich explorer schließe dann wechselt er automatisch auf about_blank seite um und einige seiten wie yahoo oder auch knuddels lassen sich nicht aufrufen (sofort wird nach eingeben der seite, wieder auf about_blank umgeschaltet). so dann habe ich hier bereits einen thread gefunden wo ich auch mir den SpHjfix.exe heruntergeladen habe und diesen durchgeführt habe. aber dieser sagt mir NICHT INFIZIERT. wie soll ich nun weiter vorgehen, denn mein antivirenprog ANTIVIR löst dieses problem auch nicht.

bitte dringend um hilfe

danke

Du betreibst ein Internetcafe und triffst vorher keine Schutzmaßnahmen??

Bitte poste einmal vom infizierten Rechner ein HijackThis-Log.

doch natürlich habe ich schutzmaßnahmen getroffen aber diese haben wahrscheinlich nicht ausgereicht, durch die internetcafesoftware ist schon ein großer schutz da aber irgendwo gibt es immer lücken wo solche dinge durchrutschen.

so wenn du mir sagst wie man die HijackThis-Log postet dann mach ich das. habe das programm durchlaufen lassen und mir wurde gesagt nicht infiziert.

http://www.trojaner-board.de/51130-a...ijackthis.html

Zu dem Internetcafe generell: die Workstations sind jeweils mit eingeschränkten Benutzerrechten auszustatten, dann kann sowas in der Regel gar nicht erst passieren. Außerdem sei die Installation und Nutzung eines anderen Browsers empfohlen, der aber ebenso wie das System selbst stets auf dem aktuellen Stand gehalten werden muss!

Wie sehen die bisherigen Schutzmaßnahmen aus?

so hier nun das ergebnis

Logfile of HijackThis v1.98.0
Scan saved at 23:39:46, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\AIM95\aim.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\icafeex\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {6EFA5695-C7EE-4E5A-9173-8619D5F47B6E} - C:\WINDOWS\System32\nlacda.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139327.exe -auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Spyware Begone] c:\freescan\freescan.exe -FastScan
O4 - HKCU\..\Run: [SpyKiller] C:\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\AIM95\aim.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/09325fd8...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0
O17 - HKLM\System\CS2\Services\Tcpip\..\{8B0EFF44-A027-448C-A02C-CEF4BCADE3C7}: NameServer = 192.168.123.254,0.0.0.0
O18 - Filter: text/html - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll
O18 - Filter: text/plain - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll



so und die schutzmaßnahmen beziehen sich auf die icafesoftware<die automatisch spezielle seiten sperrt und im explorer habe ich download deaktiviert, antivir habe ich als virenprogramm.

natürlich ist dies sicherlich nicht ausreichend da ich aber erst seit 3 wochen das cafe betreibe dachte ich das reicht aus. vielleicht könnt ihr mir ja sagen wie man ein pc virensicher macht.

Logfile of HijackThis v1.98.0
-> Das ist nicht die aktuelle HijackThis-Version, ist wohl aber eher nicht dein, sondern mein Fehler, da ich ja weiß, dass Chip - der Downloadlink in meiner Anleitung - noch nicht die aktuelle Version auf dem Server hat. Ich werde das gleich mal ändern.


Das ist Adware, die muss raus (Taskmanager aufrufen, Prozesse beenden, Dateien löschen):
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\PrecisionTime\PrecisionTime.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


Dies in HijackThis markieren, alle Windows Explorer und Internet Explorer Fenster schließen, dann Fix checked klicken:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\COOKIE~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {6EFA5695-C7EE-4E5A-9173-8619D5F47B6E} - C:\WINDOWS\System32\nlacda.dll
O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar17.dll

Ein Dialer:
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int139327.exe -auto


O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe

O16 - DPF: {00000000-0000-0000-0000-000020030000} - h+tp://www.advnt01.com/dialer/ger_nopop.exe

O18 - Filter: text/html - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll
O18 - Filter: text/plain - {A4B025A0-04D6-4B9E-A24F-90E9F08DCEA6} - C:\WINDOWS\System32\nlacda.dll

Zitat:

Zitat von sweetychen

so und die schutzmaßnahmen beziehen sich auf die icafesoftware<die automatisch spezielle seiten sperrt und im explorer habe ich download deaktiviert, antivir habe ich als virenprogramm.

Nein, reicht nicht - vor allem nicht in einem Internetcafe, wo die verschiedensten Leute an den Rechnern zu Gange sind.

Wie ist es denn techn. realisiert? Wie erfolgt der Internetzugang? Wie viele Workstations gibt es?

Zitat:

natürlich ist dies sicherlich nicht ausreichend da ich aber erst seit 3 wochen das cafe betreibe dachte ich das reicht aus. vielleicht könnt ihr mir ja sagen wie man ein pc virensicher macht.

Wie gesagt, fang mal mit den eingeschränkten Benutzerrechten /-Konten an. Installiere zudem die Browser Mozilla / Firefox und Opera. Deaktiviere den IE. Gilt zwar hauptsächlich für Heimanwender, prinzipiell sind es aber ähnliche Maßnahmen:

http://www.mathematik.uni-marburg.de...ompromise.html

hi,

so habe alles so gemacht wie ihr gesagt habt und mit der startseite ist jetzt wieder alles bestens, tausend dank an euch. und werde jetzt die pcs sicherer machen.

ich habe 7 pcs also keine workstationen sondern alle sind über das netzwerk verbunden und die pcs haben alle clientsoftware oben und alle laufen über routers. so werde mal sehen was opera und mozilla so anbieten, habe nämlich von diesen noch nichts gehört.