Hallo
in einem Netzwerk haben mehrere PCs probleme mit "Schädlingen". Ich habe mich in den letzten Tagen in das Trojaner-board eingelesen und möchte einen ersten Versuch machen.

Der PC hat das Betriebssystem WIN 98 SE. Nicht alle Updates von MS sind aufgespielt.

Ich habe entsprechend der im Board vorgeschlagenen Vorgehensweise einen Virenscan normal mit Symantec Antivirus (neuestes Virenupdate) durchgeführt.

Danach wurde im abgesicherten Modus mit neuestem Ad Aware 6.0.181 eine Scan gemacht die gefundenen 6 Data-Mining Cookies wurden entfernt. Ein weiterer Scan mit SpyBot ebenfalls im abgesicherten Modus und mit neuesten Updatestand durchgeführt und mit "No immediate Threats were found" beendet.

Danach wurde ein eScan nach Vorschlag (letztes Update, abgesicherter Modus durchgeführt mit folgendem Ergebnis:

File C:\IBMTOOLS\APPS\PCDR\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

File C:\Eigene Dateien\Privat\PalaceClient3_4_1setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Danach wurde ebenfalls im abgesch.Modus ein Hijack This gemacht.

Logfile of HijackThis v1.98.2
Scan saved at 19:56:00, on 22.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\AVM_UPDATE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.212.210:3128/ken.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.212.210:3128;https=192.168.212.210:3128;ftp=192.168.212.210:3128;socks=192.168.212.210:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253

Bitte unterstützt mich, damit ich dann auch in der Lage bin den z.Zt. noch in Scans befindlichen Übeltäter ( der PC legt im Netzt den KenServer lahm und trennt ihn von den übrigen PCs im Netz.

Dein Log schaut eigentlich sauber aus ...

hi

kannst du eventuell auch ein logfile, vom vollbetrieb hier posten??

Hi theo-mann!

Hab mal noch n bisschen rumgegoogelt, du solltest deshalb noch folgende Sache fixen:

O4 - HKLM\..\Run: [ZIBMACC] c:\windows\rundll.exe setupx.dll,InstallHinfSection DefaultInstall 128 C:\WINDOWS\INF\ZIBMACC.INF

VLG Moskitoman

Hallo theo-mann,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\INF\ZIBMACC.INF

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

===@===

Arbeite nun bitte zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "ZIBMACC.INF-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===@===

Downloade das Programm SpywareBlaster 3.2 und führe es auf dem/den Rechner(n) aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen!

===@===

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

===@===

Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/den Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This aus dem normalen Modus und poste es.

SD

Hallo

zunächst möchte ich mich einmal herzlich für die erhaltene Hilfe bedanken.

Die Vorschläge von Shadowdance habe ich alle in der beschriebenen Reihenfolge abgearbeitet und den Eintrag über die datei "ZIPMACC.inf" ge-fixt.

Hier folgtder neueste HijackThis.log

Logfile of HijackThis v1.98.2
Scan saved at 02:05:26, on 24.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\SYMANTEC\PCANYWHERE\PCAMGT.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON UTILITIES\NPROTECT.EXE
C:\PROGRAMME\KEN!\KENCLI.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PELMICED.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\HEWLETT-PACKARD\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\NORTON SYSTEMWORKS\NORTON ANTIVIRUS\POPROXY.EXE
C:\PROGRAMME\KEN!\KENTBCLI.EXE
C:\WINDOWS\RunDLL.exe
C:\PROGRAMME\HARDCOPY\HARDCOPY.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\AVM_UPDATE\AVTOOLS\HIJACK\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.212.210:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.115.1:3128;http=192.168.115.1:3128;https=192.168.115.1:3128;socks=192.168.115.1:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] PELMICED.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~2\NORTON~2\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~2\NORTON~2\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton SystemWorks\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [pcAnywhere Agent] C:\Programme\Symantec\pcAnywhere\pcamgt.exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [AVM KEN] C:\Programme\KEN!\KENCLI.EXE
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.212.210:3128/ken.html
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - http://www-306.ibm.com/pc/support/IbmEgath.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.115.10,192.168.114.252,192.168.114.253


Die Emails mit den restlichern Daten folgen morgen bzw. heute , denn es ist inzwischen Sonntag 2:30 und der morgige Tag wird lang denn es sind noch weitere 5 PCs zu fixen.

mfg

theo-mann

Hallo theo-mann,

da ich nicht weiß, welche Programme auf Deinem/Eurem System laufen, gebe ich Dir den Link zur automatischen Auswertung. Es sind noch ein paar gelbe Fragezeichen in Deinem Logfile, die unbekannte Programme/Einträge betreffen. Ob Du sie mit Hijack This (Häk'chen setzen und auf fix checked klicken) fixed, liegt an Dir, bzw. daran, ob Du die Programme/Einträge kennst/brauchst: die automatische Auswertung - bitte das Logfile mittels copy&paste dort hineinkopieren. Ich gebe Dir den Link zur HijackThis Anleitung in deutsch: hier erfährst Du, was Du bearbeitest.

Wenn Du Programme/Einträge fixed, dann bitte im abgesicherten Modus, offline. Prozesse musst Du ausserdem beenden und den Pfad dann löschen.

Zitat:

Danach wurde ein eScan nach Vorschlag (letztes Update, abgesicherter Modus durchgeführt mit folgendem Ergebnis:

File C:\IBMTOOLS\APPS\PCDR\SETUP2.EX2 tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\OPTIONS\CABS\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

File C:\Eigene Dateien\Privat\PalaceClient3_4_1setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Es sind keine Viren, die Du auf dem System hast. Solltest Du die Dateien trotzdem vom System entfernen wollen, was nicht notwenig ist, kannst Du so vorgehen: "öffne die mwav.log (im Ordner c:\bases) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Dass dazu diese Funktionen aktiviert bzw. abgeschaltet sein sollten, dürfte bekannt sein: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Es gibt übrigens Browser, die mindestens so gut sind wie der IE, aber wesentlich sicherer:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.

Viel Erfolg.
SD