Hallo,

neuer Log, diesmal vom Rechner meines Nachbarn. Antivir hat zwei Trojaner (TR/Dldr.IstBar.PT und TR/Delf.DY) und außerdem zwei Viren (?) namens JS/Femad.B und JS/OpenConnect.J.3 gefunden. Ein Dialer (DIAL/400472) läßt sich nicht löschen und wählt sich immer wieder ein. Nach dem dritten Prozessstop im Task-Manager versucht er es nicht mehr. Die entsprechende exe.Datei läßt sich nicht löschen.

Außerdem läuft immer ein Programm namens acie.exe. Weder mein Nachbar noch ich noch google wissen, was das ist.

Hier ist das aktuelle HijackThis-log:

Logfile of HijackThis v1.98.2
Scan saved at 13:52:10, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Antivir\AVGNT.EXE
C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\systime.exe
C:\Dokumente und Einstellungen\Olli P\Anwendungsdaten\acie.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\Olli P\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [Mmrc] C:\Dokumente und Einstellungen\Olli P\Anwendungsdaten\acie.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/209b1b207812f73...dxIE601_de.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2876436D-481C-4A1E-B3E8-434C7B47AC6C}: NameServer = 217.237.151.33 217.237.149.225

R1 und R0 sind Startseiten, die automatisch beim Öffnen des Explorers aufgehen. Fixen bringt nichts, die kommen sofort wieder.

Mehrere Versuche Spybot runterzuladen schlugen fehl.

Gruß,
silly

So, inzwischen hab ich die automatische Auswertung entdeckt und das Log durchlaufen lassen, anschließend Einträge nach Anweisung gefixt. Ergebnis:

Logfile of HijackThis v1.98.2
Scan saved at 14:14:12, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Antivir\AVGUARD.EXE
C:\Programme\Antivir\AVGNT.EXE
C:\Programme\Antivir\AVWUPSRV.EXE
C:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Olli P\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Antivir\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2876436D-481C-4A1E-B3E8-434C7B47AC6C}: NameServer = 217.237.151.33 217.237.149.225

Schaut schon besser aus, aber der Dialer hat sich trotzdem noch einmal (NUR noch einmal!) eingeloggt, und ich hab den Prozess sofort wieder über den Taskmanager gestoppt.

Problem: Die Startseite (R0, R1) läßt sich nicht fixen, ist irgendwie widerborstig das Ding.

Ideen?

Hallo,

Lade und scanne mit eScan im abgesicherten Modus, wie hier beschrieben und lösche danach die infizierten Dateien manuell: http://www.trojaner-board.de/42731-escan-anleitung.html

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {B68D77D8-F925-4778-B850-243128AB728A} - (no file) (HKCU)

Lösche diese Dateien:
C:\WINDOWS\questmod.dll
C:\WINDOWS\System32\systime.exe

- neue Startseite vergeben
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

So, heute gings weiter. Vielen Dank für die Info, Cidre! Der eScan hat ursprünglich etwa 40 verseuchte Dateien angezeigt, die ich fast alle manuell löschen konnte. Eine läßt sich (noch) nicht löschen, aber die krieg ich auch noch klein. Der neueste HijackThis-Log schaut so aus:

Logfile of HijackThis v1.98.2
Scan saved at 19:31:05, on 10.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Olli P\Lokale Einstellungen\Temp\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{2876436D-481C-4A1E-B3E8-434C7B47AC6C}: NameServer = 217.237.151.33 217.237.149.225

Ist verdammt dünn geworden.

Sieht schon mal gut aus.

Welche Datei und welche Malware steckt dahinter?

Hallo Cidre,

grundsätzlich steckten insgesamt ca. 40 infizierte Dateien in folgenden Verzeichnissen:

• C:\WINDOWS\Downloaded Program Files
• C:\System Volume Information
• C:\Dokumente und Einstellungen\Olli P\Lokale Einstellungen\Temp
• C:\Programme

Die Trojaner hab ich nicht mehr alle im Kopf, es waren insgesamt bestimmt 15 Stück. Plus drei Dialer, irgendwas mit "Pornware" von einer Firma (?), die mit Tibs... anfing. Entschuldige bitte die dürftigen Infos, aber ich hab die eScan Logs nicht gespeichert. Prinzipiell gingen die Sachen aber unkompliziert zu löschen, nachdem das Programm sie erstmal entdeckt hatte. AntiVir hatte wesentlich weniger angezeigt.

Der letzte Scan mit AntiVir brachte keine Funde, ein letzter eScan steht noch aus, aber ich hab für heute keine Lust mehr.

Gruß,
silly