Hallo und Hilfe Hilfe,

ich habe mit escan im abgesichertem Mode Trojaner entfernt ....IX.
Seitdem bekomme ich keine Netzverbindung mehr. Alle ports scheinen zu zu sein.
Eine IP über den DSL-Router bekommt der Rechner. Netzverbindung ist auch ok, hängt noch ein zweiter Rechner dran.

Fehler den ich evtl. gemacht habe ist, dass ich die heruntergeladene escan-datei nicht nach c:\bose expandiert habe. Programm lief aber einwandfrei und hat auch einiges gefunden. evtl. zu viel??

Über jede Hilfe bin ich dankbar. Bitte ausführlich schreiben. Bin kein systemprofi.

Grüße

Charly

Hallo,

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Poste auch die gefundenen Viren von eScan.

Hallo Cidre,

wenn das so einfach ginge. ich habe ja keine Netzverbindung mehr.
Sitze hier an einem alten Notebook ohne Diskettenlaufwerk.
Sonst hätte ich wenigstens HijackThis runterladen und überspielen können.

Schon kurz nach dem Start von escan war die Netzverbindung weg.
Hat man im abgesicherten Mode normalerweise eine netzverbindung?

Tja, was kann ich noch tun??

Gruß

Charly

Hallo,

was mir noch aufgefallen ist.
Der alte Lapetop, mit ich am selben DSL-Anschluß sitze hat bei ipconfig folgenden Eintrag:
192.168.0.5
255.255.255.0
192.168.0.1 default gateway

der trojaner rechner hat einen ganz anderen eintrag
168.264.19.15
255.255.0.0
und kurioserweise kein default gateway entrag

hilft das evtl. weiter

charly

Letzte Nachricht für heute,

beim starten des befallenen rechners trägt irgendein Programm die unten genannte IP-adresse ein.
ich kann zumindest das gateway anpingen.
wie kann ich verhindern, das die falsche ip-adresse eingetragen wird.
wann, wo passiert der ip-eintrag?

Hilft es vielleicht, das sp2 von xp einzuspielen??

danke für eure hilfe.

charly

jetzt habe ich über rechner-rechner kommunikation HijackThis aufgespielt und folgende logdatei erstellt:
Logfile of HijackThis v1.98.2
Scan saved at 13:01:14, on 24.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\svchost.exe
C:\KMaestro\KMaestro.exe
C:\WINDOWS\PTBSync.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Winamp\winampa.exe
C:\Program Files\Bcpc\bcpc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\pdaBusiness\Qlock\Qlock.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
\Notebook-charly\C\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Charly\Lokale Einstellungen\Temp\HijackThis.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar2.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll
O3 - Toolbar: BA Toolbar - {952EC978-4920-4F18-8237-91D69B54C580} - C:\Programme\SearchLocate\sidebar.dll
O4 - HKLM\..\Run: [KeyMaestro] C:\KMaestro\KMaestro.exe
O4 - HKLM\..\Run: [Atomuhr Synchronisation] PTBSync.EXE /Start
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Sys Ren] C:\WINDOWS\SysRen.exe /S
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Email-Zensor] C:\Programme\LAB1.DE\Email-Zensor\Email-Zensor.exe /AUTOSTART
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Qlock.lnk = C:\Programme\pdaBusiness\Qlock\Qlock.exe
O8 - Extra context menu item: &411 Ferret Toolbar search - res://C:\Programme\411Ferret\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2002\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2002\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2002\\Parser.html
O8 - Extra context menu item: Verweisseiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\windows\downloaded program files\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lspak.dll' missing
O15 - Trusted Zone: cm4all02.kundenserver.de
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix.com/viewers/ipixx.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093598383765
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/bi.../GoogleNav.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app/...vex/msxml4.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll (file missing)

ich hoffe es hilft??

die logdatei von escan kann ich leider nicht mehr schicken, da ich es gestern zweimal habe laufen lassen (da hat er natürlich nichts mehr gefunden) und er scheinbar immer in die gleiche Datei schreibt.

Teste mal hier:

http://virusscan.jotti.org/de

die beiden Dateien:

C:\Program Files\Bcpc\bcpc.exe
C:\WINDOWS\SysRen.exe

Hallo MK,

wie??
ich habe ja auf dem befallenen Rechner keinen Webzugang.
Ich könnte mir ja die Dateien auf den Notebook rüberziehen, aber ist das nicht zu gefährlich??

Charly

Zitat:

aber ist das nicht zu gefährlich??

Nein, solange du die Dateien nicht ausführst sprich doppelklickst, ist das kein Problem.

Man traut sich ja sonst nix.
C:\WINDOWS\SysRen.exe ist ok

C:\Program Files\Bcpc\bcpc.exe
mit folgendem ergebnis:
bcpc.exe
Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.)

hilft das weiter??

Das Ergebnis von Sysren.exe erstaunt mich etwas, ich bin mir ziemlich sicher, dass nichts Gutes ist.
Schick mal beide Dateien an: virus@av.klaffke.info mit einem Link zu diesem Thread hier.

Besorge dir

http://www.cexx.org/lspfix.htm

das Programm sollte das Problem mit deinem Internetzugang lösen.

Systemwiederherstellung deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html


Beende im Taskmanager:

C:\Program Files\Bcpc\bcpc.exe

Mit HijackThis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):



C:\Program Files\Bcpc\bcpc.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - URLSearchHook: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - (no file)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL (file missing)
O3 - Toolbar: 411 Ferret Toolbar - {12F02779-6D88-4958-8AD3-83C12D86ADC7} - C:\Programme\411Ferret\toolbar.dll
O3 - Toolbar: BA Toolbar - {952EC978-4920-4F18-8237-91D69B54C580} - C:\Programme\SearchLocate\sidebar.dll
O4 - HKLM\..\Run: [Sys Ren] C:\WINDOWS\SysRen.exe /S
O4 - HKLM\..\Run: [Breg] "C:\Program Files\Common Files\Java\bcre.exe"
O4 - HKLM\..\Run: [Sys Ren] C:\WINDOWS\SysRen.exe /S
O4 - HKLM\..\Run: [Xcpy1] "C:\Program Files\Common Files\Java\Xcpy1.exe"
O4 - HKLM\..\Run: [BCPC] "C:\Program Files\Bcpc\bcpc.exe"
O8 - Extra context menu item: &411 Ferret Toolbar search - res://C:\Programme\411Ferret\toolbar.dll/
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\windows\downloaded program file
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\lspak.dll' missing


Sagt dir diese Seite etwas:

O15 - Trusted Zone: cm4all02.kundenserver.de

wenn nicht, fixen, wie auch:

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - http://cm4all02.kundenserver.de/app...ivex/msxml4.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.cab
O18 - Protocol: start - {53B95211-7D77-11D2-9F81-00104B107C96} - C:\WINDOWS\System32\msxword.dll (file missing)

Neu booten, Systemwiederherstellung wieder aktivieren.

Ich habe jetzt den prozess bcpc gestoppt und die Dateien und das verezichnis gelöscht.
Nach einem Neustart ist wieder ein leeres Verzeichnis bcpc vorhanden. :-(
In der Netzverbindung habe ich jetzt den ersten Eintrag auf von DHCP beziehen gesetzt.
Den zweiten (alternative Konfiguration) selbst konfiguriert, damit die Verbindung zum Notebook klappt.
Nach dem Neustart hat er jetzt bei ipconfig die alternative konfiguration drinstehen aber ohne defaultgateway.
Kann man dem Rechner noch irgendwie anders das defaultgateway mitteilen?

Ich lasse jetzt noch mal escan laufen.

sorry mails haben sich überschnitten. Mache mich an die Arbeit. ;-)

Hallo Bergkönig,

ich verneige mich vor Dir.

Es tut wieder!!!! Du bist ein

Absolut Spitzenmäßig. Bewertung: AAA

Hab vielen Dank.

Tja, die Freude wärte nicht lange.

Schon meldete Antivir wieder TR StartPage.IX

denn muss man doch loswerden können.

soll ich nochmal escan laufen lassen??