Hallo,

Ich habe heute meinen Pc mit Antivir überprüft und einige Trojaner und Dialer gefunden. Das Programm konnte 2 dieser Trojaner nicht löschen. Deshalb habe ich mal mit Hijack eine Logfile gemacht. Vielleicht kann mir einer sagen wie ich weiter verfahren soll.



Logfile of HijackThis v1.98.2
Scan saved at 12:52:57, on 21.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ATI2EVAE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
E:\VOODOO\3DHQ TOOLS\V_CTRL.EXE
C:\PROGRAMME\3D BROWSER MOUSE\BMOUSE.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
E:\PROGRAMME\PALM\HOTSYNC.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\DVZCOMMON\DVZMSGR.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\NOTEPAD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
F:\DOWNLOAD\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O1 - Hosts: 193.125.201.50 msn.com
O1 - Hosts: 193.125.201.50 search.msn.com
O1 - Hosts: 193.125.201.50 auto.search.msn.com
O1 - Hosts: 193.125.201.50 ie.search.msn.com
O1 - Hosts: 193.125.201.46 thehun.net
O1 - Hosts: 193.125.201.46 www.thehun.net
O1 - Hosts: 193.125.201.46 thehun.com
O1 - Hosts: 193.125.201.46 www.thehun.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [xv_crtl] E:\voodoo\3dhq Tools\v_ctrl.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe
O4 - Startup: 3D Browser Mouse.lnk = C:\Programme\3D Browser Mouse\Bmouse.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: HotSync Manager.lnk = E:\Programme\Palm\hotsync.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html
O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html
O8 - Extra context menu item: Backward Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html
O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/ga.../de/games4.cab
O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...TH_1024_EN.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129
O18 - Filter: text/html - {2C92DD20-5767-11D8-A766-0030840C4D40} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT



Vielen Dank im voraus,
Urb

Ich hatte noch vergessen anzugeben, was Antivir gefunden hat:

TR/Dialui und TR/IstBar.S

Danke,
Urb

Hi,

bitte prüfen, falls unbekannt fixen


C:\WINDOWS\SYSTEM\ATI2EVAE.EXE

E:\VOODOO\3DHQ TOOLS\V_CTRL.EXE

C:\PROGRAMME\3D BROWSER MOUSE\BMOUSE.EXE

C:\WINDOWS\DVZCOMMON\DVZMSGR.EXE




unbedingt fixen:

---edit:------
C:\WINDOWS\RUNDLL32.EXE

die ist bei Win98 richtig und an dieser stelle,

aber vielleicht trotzdem mit http://www.kaspersky.com/de/remoteviruschk.html checken
-----



O1 - Hosts: 193.125.201.50 msn.com

O1 - Hosts: 193.125.201.50 search.msn.com

O1 - Hosts: 193.125.201.50 auto.search.msn.com

O1 - Hosts: 193.125.201.50 ie.search.msn.com

O1 - Hosts: 193.125.201.46 thehun.net

O1 - Hosts: 193.125.201.46 www.thehun.net

O1 - Hosts: 193.125.201.46 thehun.com

O1 - Hosts: 193.125.201.46 www.thehun.com

O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/g...l/de/games4.cab

O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab

O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binari...UTH_1024_EN.cab

O18 - Filter: text/html - {2C92DD20-5767-11D8-A766-0030840C4D40} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT




nicht mehr notwendig, ebenfalls fixen

O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing)

O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing)

MFG
Blackdog

Hi,

also ich hab das Angegebene gefixt und die Temp Files gelöscht. Antivir zeigt jetzt keine Trojaner mehr an.

Vielen Dank für die schnelle Hilfe,

Urb

Hallo,

Ich habe jetzt nochmal eScan drüber laufen lassen und das hat noch mehr als 10 Dialer und Trojaner gefunden. Ich poste einfach mal die Log-File. Vielleicht hat ja einer von euch noch ne Idee wie ich die wegkriegen könnte.

File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\olehelp.exe infected by "Trojan.Win32.StartPage.cm" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\SuperHeiss2-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\SYSTEM\ia.dll tagged as not-a-virus:PornWare.Dialer.IA. No Action Taken.
File C:\WINDOWS\SYSTEM\p2esocks_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken.
File C:\WINDOWS\SYSTEM\SuperHeiss2-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\SYSTEM\ia.dll tagged as not-a-virus:PornWare.Dialer.IA. No Action Taken.
File C:\WINDOWS\SYSTEM\p2esocks_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken.
File C:\WINDOWS\TEMP\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\Anwendungsdaten\Microsoft\Internet Explorer\V0.15.dat infected by "Trojan.Win32.Dialui" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\olehelp.exe infected by "Trojan.Win32.StartPage.cm" Virus. Action Taken: No Action Taken.
File C:\ht.hta infected by "TrojanClicker.JS.Gen" Virus. Action Taken: No Action Taken.
File C:\winlog.html infected by "Trojan.JS.Fav" Virus. Action Taken: No Action Taken.
File F:\download\backups\backup-20041021-173606-769.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken.

Vielen Dank nochmal im voraus,
Urb

Hallo Urb2000,

die Dialer solltest Du auf Diskette sichern, bevor Du sie löscht, falls sich Deine Telefonrechnung erhöht: (Dialer-Hinweis)

[edit] Ich finde (noch) keine Information zu: 'Trojan.JS.Fav', sende bitte die Datei "C:\winlog.html" passwortgeschützt an partytime-germany.ice@web.de mit Hinweis im Betreff 'Trojan.JS.Fav' und auf diesen Thread. [/edit]

Die Malware muß im - abgesicherten Modus bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!"

Solltest Du Dateien nicht finden: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre zitiert)

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Downloade Spybot-Search & Destroy 1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme beheben.

Erstelle ein neues Hijack This Logfile und poste es.

SD