| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: W98 IE6, Netzwerkkennwort eingebenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
09.06.2004, 08:51
| #1 |
| |  W98 IE6, Netzwerkkennwort eingeben Hallo, leider ist mir kein besserer Betreff eingefallen... Auf einem PC (nicht meiner, ich kann also nicht sagen, seit welchem Ereignis das Problem aufritt) passiert folgendes: Bei der Eingabe jeder URL wird ein Dialogfenster eingeblendet in welchem ich zur Eingabe eines Kennworts aufgefordert werde. Zusätzlich steht noch dran: Site: 217.160.188.141 Bereich: By Invitation Only Wenn ich auf Abbrechen klicke komme ich zur ursprünglich eingegebenen Seite, bei OK kommt dieses Dialogfenster wieder. Der erste Versuch: Die hosts anschauen, Pech gehabt, die gibt es nicht. Ich habe eine hosts auf den PC kopiert, keine Änderung. Dann Ad-Aware, Spybot-Search &Destroy 1.3 und CWS Shredder, alles ohne Erfolg. HiJack This hat dann folgendes gefunden: O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun [ .....] O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = xyz.de Das komplette Protokoll hänge ich unten nochmals an. Da ich in zeitdruck war habe ich die vier Einträge oben deaktiviert und danach trat das Problem nicht mehr auf. Leider weiss ich jetzt nicht, was dafür verantwortlich war und ob ich das Problem gelöst habe, oder ob noch was auf dem Rechner ist, was da nicht hingehört Achso, Ein aktuelles AntiVir hat auch nichts gefunden und alle Windows Upates wurden auch eingespielt. Was kann ich noch tun? Danke G. Logfile of HijackThis v1.97.7 Scan saved at 11:59:33, on 08.06.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\TYPHOON\TYPHOON UNPLUGGED MOUSE\1.0\LWBWHEEL.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE C:\WINDOWS\SYSTEM\FPPDIS2A.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE D:\ANDY\HJT.EXE O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [OEMCleanup] C:\WINDOWS\OPTIONS\OEMRESET.EXE O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Typhoon\Typhoon Unplugged Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe O4 - HKLM\..\RunServices: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakLogon O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4327199074 O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = sophie.de |
|
09.06.2004, 10:10
| #2 |
 | W98 IE6, Netzwerkkennwort eingeben hallo.. also die o16 einträge waren jedenfalls nicht schuld.. die sind nicht böse.. aber in deinem log sieht einiges fragwürdig aus..
__________________
__________________ |
|
09.06.2004, 10:15
| #3 |
| /// Mr. Schatten   | W98 IE6, Netzwerkkennwort eingeben O17 war es!
__________________Was allerdings hinter der sophie.de (wer sagt denic) steckt, weiß ich nicht. die IP ist auch die IP von sophie.de domain: sophie.de descr: Wolf Konrad descr: Julia GmbH descr: Hermann-Wirth-Str.1 descr: 74855 Hassmersheim => auch Julia.de, internet-service.info alles etwas seltsam, entweder Passwortgeschützt oder ohne Aussage des wirklichen Geschäftsinhaltes Aber ich bin ja nicht Shadow Holmes also 017 weg und es sollte(!) weg sein. Allerdings ist die GROSSE Frage wie kam es dahin? [ 09. Juni 2004, 11:24: Beitrag editiert von: Shadow ]
__________________ |
|
09.06.2004, 10:22
| #4 |
| | W98 IE6, Netzwerkkennwort eingeben sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17? Vielen Dank für die Antworten |
|
09.06.2004, 10:27
| #5 |
| | W98 IE6, Netzwerkkennwort eingeben hier mal schaun: http://www.trojaner-board.de/51130-a...ijackthis.html
__________________ follow me and do exactly what i say |
|
09.06.2004, 10:30
| #6 |
| /// Mr. Schatten | W98 IE6, Netzwerkkennwort eingeben </font><blockquote>Zitat:</font><hr />Original erstellt von fppdis2a: sophie.de war die Windows Domäne, an der sich der PC irgendwann mal angemeldet hat, das geht in Ordnung. Was den Eintrag O17 angeht, da weiss ich nicht um was es geht. Was macht O17?</font>[/QUOTE]Dieser 017-Eintrag entspricht (im legalen Fall) entweder einem Eintrag Deines ISPs oder der Domäne Deines lokalen Netzwerkes. War der PC früher bei der Domäne sophie.de integriert, ist der Eintrag legal gewesen. Was macht die Julia GmbH? Domainparking? Edit: Neptune war schneller, werde mal Poseidon rufen müssen 
__________________ --> W98 IE6, Netzwerkkennwort eingeben |
|
09.06.2004, 13:44
| #7 |
| | W98 IE6, Netzwerkkennwort eingeben > War der PC früher bei der Domäne sophie.de > integriert, ist der Eintrag legal gewesen. Der war da mal drin. Allerdings schon lange nicht mehr. Ich fürchte, ich muss mir die Kiste nochmal vornehmen. Ich werde dann mit genaueren Fragen wieder hier erscheinen  Am besten, ich schalte die vier Werte einzeln wieder ein und überprüfe, ob das Phänomen wieder auftritt. Wird den Besitzer des PCs nicht gerade freuen... > Was macht die Julia GmbH? > Domainparking? Keine Ahnung. War die Frage an mich gerichtet? Die Domain Sophie hiess damals so, weil eine frisch eingetroffene Nichte diesen Namen trug, mit Julia habe ich nichts am Hut (obwohl ich auch eine Nichte namens Julia habe Danke G. |
|
10.06.2004, 11:52
| #8 |
 | W98 IE6, Netzwerkkennwort eingeben </font><blockquote>Zitat:</font><hr />C:\WINDOWS\SYSTEM\FPPDIS2A.EXE O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [pdfFactory Dispatcher v2] C:\WINDOWS\SYSTEM\fppdis2a.exe </font>[/QUOTE]imho die einzigen fragwürdigen einträge die in dem log nichts zu suchen haben hab allerdings nicht alle exen genau auf den pfad überprüft die einträge fixen + exen scannen + infiziertes löschen
__________________ Die Suchfunktion des Boards |
|
| Themen zu W98 IE6, Netzwerkkennwort eingeben |
| ad-aware, antivir, c.exe, c:\windows, deaktiviert, druck, explorer, folge, hijackthis, internet, internet explorer, klicke, nicht, nicht mehr, object, problem, problem gelöst, programme, rechner, registry, rundll, rundll32.exe, runonce, seite, services, shockwave, system, this, träge, update, windows |
Linear-Darstellung
