Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: W98 IE6, Netzwerkkennwort eingeben

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.06.2004, 08:51   #1
fppdis2a
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



Hallo,

leider ist mir kein besserer Betreff eingefallen...

Auf einem PC (nicht meiner, ich kann also nicht sagen, seit welchem Ereignis das Problem aufritt) passiert folgendes:

Bei der Eingabe jeder URL wird ein Dialogfenster eingeblendet in welchem ich zur Eingabe eines Kennworts aufgefordert werde. Zusätzlich steht noch dran:

Site: 217.160.188.141
Bereich: By Invitation Only

Wenn ich auf Abbrechen klicke komme ich zur ursprünglich eingegebenen Seite, bei OK kommt dieses Dialogfenster wieder.

Der erste Versuch: Die hosts anschauen, Pech gehabt, die gibt es nicht. Ich habe eine hosts auf den PC kopiert, keine Änderung.

Dann Ad-Aware, Spybot-Search &Destroy 1.3 und CWS Shredder, alles ohne Erfolg.

HiJack This hat dann folgendes gefunden:


O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun

[ .....]

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = xyz.de

Das komplette Protokoll hänge ich unten nochmals an.

Da ich in zeitdruck war habe ich
die vier Einträge oben deaktiviert und danach trat das Problem nicht mehr auf. Leider weiss ich jetzt nicht, was dafür verantwortlich war und ob ich das Problem gelöst habe, oder ob noch was auf dem Rechner ist, was da nicht hingehört

Achso, Ein aktuelles AntiVir hat auch nichts gefunden und alle Windows Upates wurden auch eingespielt.

Was kann ich noch tun?

Danke

G.


Logfile of HijackThis v1.97.7
Scan saved at 11:59:33, on 08.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
D:\ANDY\HJT.EXE

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe
O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = sophie.de

Alt 09.06.2004, 10:10   #2
neptune
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



hallo.. also die o16 einträge waren jedenfalls nicht schuld.. die sind nicht böse.. aber in deinem log sieht einiges fragwürdig aus..
__________________

__________________

Alt 09.06.2004, 10:15   #3
Shadow
/// Mr. Schatten
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



O17 war es!

Was allerdings hinter der sophie.de (wer sagt denic) steckt, weiß ich nicht.
die IP ist auch die IP von sophie.de

domain: sophie.de
descr: Wolf Konrad
descr: Julia GmbH
descr: Hermann-Wirth-Str.1
descr: 74855 Hassmersheim

=> auch Julia.de, internet-service.info

alles etwas seltsam, entweder Passwortgeschützt oder ohne Aussage des wirklichen Geschäftsinhaltes
Aber ich bin ja nicht Shadow Holmes also 017 weg und es sollte(!) weg sein.
Allerdings ist die GROSSE Frage wie kam es dahin?

[ 09. Juni 2004, 11:24: Beitrag editiert von: Shadow ]
__________________
__________________

Alt 09.06.2004, 10:22   #4
fppdis2a
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17?

Vielen Dank für die Antworten

Alt 09.06.2004, 10:27   #5
neptune
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



hier mal schaun: http://www.trojaner-board.de/51130-a...ijackthis.html

__________________
follow me and do exactly what i say

Alt 09.06.2004, 10:30   #6
Shadow
/// Mr. Schatten
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



</font><blockquote>Zitat:</font><hr />Original erstellt von fppdis2a:
sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17?</font>[/QUOTE]Dieser 017-Eintrag entspricht (im legalen Fall) entweder einem Eintrag Deines ISPs oder der Domäne Deines lokalen Netzwerkes.

War der PC früher bei der Domäne sophie.de integriert, ist der Eintrag legal gewesen.

Was macht die Julia GmbH?
Domainparking?

Edit:
Neptune war schneller, werde mal Poseidon rufen müssen
__________________
--> W98 IE6, Netzwerkkennwort eingeben

Alt 09.06.2004, 13:44   #7
fppdis2a
 
W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



&gt; War der PC früher bei der Domäne sophie.de
&gt; integriert, ist der Eintrag legal gewesen.

Der war da mal drin. Allerdings schon lange nicht mehr.

Ich fürchte, ich muss mir die Kiste nochmal vornehmen. Ich werde dann mit genaueren Fragen wieder hier erscheinen

Am besten, ich schalte die vier Werte einzeln wieder ein und überprüfe, ob das Phänomen wieder auftritt. Wird den Besitzer des PCs nicht gerade freuen...

&gt; Was macht die Julia GmbH?
&gt; Domainparking?

Keine Ahnung. War die Frage an mich gerichtet? Die Domain Sophie hiess damals so, weil eine frisch eingetroffene Nichte diesen Namen trug, mit Julia habe ich nichts am Hut (obwohl ich auch eine Nichte namens Julia habe

Danke

G.

Alt 10.06.2004, 11:52   #8
Olo
 

W98 IE6, Netzwerkkennwort eingeben - Beitrag

W98 IE6, Netzwerkkennwort eingeben



</font><blockquote>Zitat:</font><hr />C:\WINDOWS\SYSTEM\FPPDIS2A.EXE
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe </font>[/QUOTE]imho die einzigen fragwürdigen einträge die in dem log nichts zu suchen haben

hab allerdings nicht alle exen genau auf den pfad überprüft

die einträge fixen + exen scannen + infiziertes löschen
__________________
Die Suchfunktion des Boards

Antwort

Themen zu W98 IE6, Netzwerkkennwort eingeben
ad-aware, antivir, c.exe, c:\windows, deaktiviert, druck, explorer, folge, hijackthis, internet, internet explorer, klicke, nicht, nicht mehr, object, problem, problem gelöst, programme, rechner, registry, rundll, rundll32.exe, runonce, seite, services, shockwave, system, this, träge, update, windows




Ähnliche Themen: W98 IE6, Netzwerkkennwort eingeben


  1. Facebook Virus/Phising: Kreditkarten eingeben
    Plagegeister aller Art und deren Bekämpfung - 25.07.2012 (2)
  2. Passwortsicherheit: Passwörter speichern oder jedes mal eingeben?
    Diskussionsforum - 08.05.2012 (2)
  3. Online Banking Sparkasse- mehrere Tans eingeben
    Plagegeister aller Art und deren Bekämpfung - 17.05.2011 (14)
  4. Sparkasse 20 Tans eingeben
    Log-Analyse und Auswertung - 16.05.2011 (7)
  5. Sparkassen - Trojaner: Kartennummer und PIN eingeben
    Log-Analyse und Auswertung - 29.04.2011 (5)
  6. 20 Tans bei Sparkasse eingeben - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.02.2011 (7)
  7. 100 TAN beim Postbank Onlinebanking eingeben?
    Plagegeister aller Art und deren Bekämpfung - 02.01.2011 (4)
  8. 20 Tan eingeben Sparkasse Online Banking
    Plagegeister aller Art und deren Bekämpfung - 23.12.2010 (7)
  9. Trojaner deutsche Bank TAN eingeben
    Plagegeister aller Art und deren Bekämpfung - 28.10.2010 (1)
  10. Trojaner: Online Banking Sparkasse - 50 Tans eingeben
    Plagegeister aller Art und deren Bekämpfung - 26.08.2010 (10)
  11. Banking Trojaner (40 TANs eingeben) los werden
    Plagegeister aller Art und deren Bekämpfung - 17.08.2010 (7)
  12. Postbank Trojaner, 40 Tan's eingeben
    Plagegeister aller Art und deren Bekämpfung - 09.08.2010 (8)
  13. Sparkassen Trojaner, 40 Tan´s eingeben
    Plagegeister aller Art und deren Bekämpfung - 04.08.2010 (28)
  14. Probleme mit der postbank - soll TAN und PIN eingeben
    Plagegeister aller Art und deren Bekämpfung - 22.06.2010 (6)
  15. probleme mit der postbank - tan und pin eingeben
    Plagegeister aller Art und deren Bekämpfung - 21.06.2010 (21)
  16. 10 TAN eingeben und Firefox Browser-Hijack combofix?
    Log-Analyse und Auswertung - 23.05.2010 (2)
  17. 10 TAN eingeben und IE7 Browser-Hijack
    Log-Analyse und Auswertung - 26.04.2010 (31)

Zum Thema W98 IE6, Netzwerkkennwort eingeben - Hallo, leider ist mir kein besserer Betreff eingefallen... Auf einem PC (nicht meiner, ich kann also nicht sagen, seit welchem Ereignis das Problem aufritt) passiert folgendes: Bei der Eingabe jeder - W98 IE6, Netzwerkkennwort eingeben...
Archiv
Du betrachtest: W98 IE6, Netzwerkkennwort eingeben auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.