Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Startseitenänderung mit #96676 und .exe Dateien

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.06.2004, 11:54   #1
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Hallo zusammen,

Problemschilderung und erste Erkenntnisse:


Ich hatte mein Problem bereits in dem Thread "Home Search Starsteite lässt sich nicht entfernen" gepostet und wurde dann von Olo darauf hingewiesen, dass man ein Problem und eine Log Datei in einen eigenen Thread schreiben soll.

Was ich bislang weiß: Ich habe mir dieses Problem eingefangen welches im Internet Explorer die Startseite auf eine Suchseite ändert, die ich nicht haben will und die ich nciht abstellen kann.

Dieser Trojaner oder was auch immer es ist ändert die Registrierung und verweist auf eine dll Datei, mit dem Verweis #96676. Der Name der dll Datei ist wohl bei allen verschieden weil er zufällig erzeugt wird, die Nummer #96676 ist aber bei allen gleich, die dieses Problem haben.

Laut "nitro" im Posting "Home Search Starsteite lässt sich nicht entfernen" handelt es sich dabei um den "TrojanDownloader.Win32.WinShow.u".

Ein erster HiJack Logfile sah folgendermaßen aus:


Logfile of HijackThis v1.97.7
Scan saved at 23:12:13, on 16.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\javazf32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\WINDOWS\system32\ntvl32.exe
C:\Programme\Winamp\Winampa.exe
C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\wudmate.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSuma32.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Starcraft\StarCraft.exe
C:\Anwendungen\Scanner und Viren\HijackThis.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Update] wudmate.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wudmate.exe
O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Microsoft Update] wudmate.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe
O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab


Nach einem ersten Fixing und dem entfernen von "wudmate.exe" sah das Logfile gut aus (die Einträge mit #96676 waren verschwunden.

Aber heute nach dem zweiten Neustart sah das Logfile nun wieder folgendermaßen aus:


Logfile of HijackThis v1.97.7
Scan saved at 12:49:13, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\javazf32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ntvl32.exe
C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\System32\MSuma32.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\Anwendungen\Scanner und Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe
O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83

Also scheint die Wiederherstellung dieser Einträge nicht mit der exe-Datei "wudmate.exe" zusammenzuhängen die ich entfernt hatte.

Alt 17.06.2004, 12:09   #2
Lutz
 

Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Hallo,
</font><blockquote>Zitat:</font><hr />...und wurde dann von Olo darauf hingewiesen, dass man ein Problem und eine Log Datei in einen eigenen Thread schreiben soll... </font>[/QUOTE]Das ist nicht böse gemeint, aber als Helfender kommt man völlig durcheinander, wenn mehrere Betroffene ihre Logs in ein und dem selben Thread posten.. [img]smile.gif[/img]

Beende bitte im Taskmanager die folgenden Prozesse:

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\javazf32.exe
C:\WINDOWS\system32\ntvl32.exe</font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\cdteq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://cdteq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\cdteq.dll/sp.html#96676
O2 - BHO: (no name) - {36A43E5A-0CF0-DC7D-3372-4DF6100573BD} - C:\WINDOWS\system32\appyw.dll
O4 - HKLM\..\RunOnce: [appfe32.exe] C:\WINDOWS\system32\appfe32.exe
O4 - HKLM\..\RunOnce: [atlpu32.exe] C:\WINDOWS\system32\atlpu32.exe

</font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien:
</font><blockquote>Zitat:</font><hr />
C:\WINDOWS\cdteq.dll
C:\WINDOWS\system32\appfe32.exe
C:\WINDOWS\system32\atlpu32.exe
</font>[/QUOTE]Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es...

Eine englischsprachige Referenz findest du in diesem Forum.
__________________

__________________

Alt 17.06.2004, 12:16   #3
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Und nun einige Fragen, die mich bewegen:


1. Richtet das Ganze irgdeinen Schaden an, wenn ich den Internet Explorer nicht mehr verwende, sondern stattdessen den Netscape Navigator ?

2. Olo hatte in dem oben bereits 2 mal genannten Thread fogendes angemerkt: "MSuma32.exe zum beispiel is bei donstefano und ich wette darum das es malware ist. Was genau ist Malware ? Ein Programm was meine Startseite ändert ? (Habe schon im Forum nach einer Erklärung gesucht aber in mehreren Threads fällt der Begriff ohne Erklärung).

3. Seht ihr in meinem Lofile oben noch andere Einträge, die auf exe. Dateien verweisen, die mein System schädigen könnten ?

Was ist z.B. mit SOUNDMAN.EXE, msnmsgr.exe, appfe32.exe oder atlpu32.exe ?

4. Welche exe. Dateien brauche ich auf jeden Fall? Gibt es da eine Art Auflistung oder kann mir jemand eine hierhin schreiben ?

5. In dem bereits mehrfach genannten Thread hat design-Willy in einem US Forum http://www.dslreports.com/forum/rema...8952~mode=flat
einen Beitrag von "rrlover" gefunden, der mit einem Tool namens "Trojan Cleaner" angeblich den Wurm im abgesichertern Modus entfernen konnte. Ich verstehe leider weder dieses Postin richtig noch kann ich dieses Toll finden. Hat dazu jemand eine Idee ?

Vielen Dank für eure Hilfe.
__________________

Alt 17.06.2004, 12:19   #4
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Hallo Lutz,

ich hatte das auch nicht als böse gemeint aufgefasst.

Und du hast schneller geantwortet als die Polizei erlaubt (noch während ich meine eigentlich Fragen formuliert habe).

Ich werde deine Ratschläge nun erst einmal berücksichtigen und ausprobieren und mich dann später wieder melden.

Vielen Dank erst einmal!!

Alt 17.06.2004, 12:23   #5
holgster
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Zu den "erlaubten" Prozessen kann ich Dir folgenden Link empfehlen:

http://www.reger24.de/processes.php

Diese Liste hat mir auch geholfen, wenn ich unsicher war, was ich evtl. raushauen kann...


Alt 17.06.2004, 12:35   #6
nitro
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



also hab nochmal was rausgefunden und zwar wenn man den abgesicherten modus startet kann man die startseite umstellen und sie ändert sich auch nicht mehr um... bis man wieder normal bootet -&gt;&gt; es muss doch etwas bei windows mitgeladen werden, das das verursacht oder täusche ich mich da ?
die startseit auf die immer geändert wird enthält in der adresse immer eine .dll datei. Man gehe auf http://www.kaspersky.com/scanforvirus stellt diese .dll da ein und lässt sie scannen. Resultat :
TrojanDownloader.Win32.WinShow.u

ich habe mir das scan prog kaspersky (trial) runter geladen und im sicheren modus gescannt. Es wurden 40 infektionen gefunden. 40 weil die .dlls sich ja bekanntlich umbennen und neue erstellt nach ner zeit. das prog hat alles säuberlich gefixt und gelöscht aber nach wie vor es kam wieder. deshalb tippe ich auf eine sicherheitslücke wobei ich mir nartürlich nicht sicher bin.

KLEINER NACHTRAG VIELLEICHT GANZ INTERESSANT !
GUCKT MAL HIER

http://de.trendmicro-europe.com/ente...DW_SEARCHAID.A

DA STEHT ZU WELCHER GRUPPE DER VIRUS GEHÖRT


cYa nitro

Alt 17.06.2004, 12:58   #7
nitro
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Da mach ich doch grad mal ein Doppelpost könnte wichtig sein !
wenn ihr das alles macht ist es sau wichtig die systemwiederherstellung auszuschalten !!! und schaut mal hier evtl die lösung ^^
diese nummer #96676 stimmt zwar nicht überein abder da ist das selbe wie wir alle haben. und nochmals SYSTEMWIEDERHERSTELLUNG AUSMACHEN !!!
^^ so los probieren jungs [img]smile.gif[/img]

Alt 17.06.2004, 13:39   #8
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



@ Lutz:

Ich habe deine Vorgehensweise mal berücksichtigt und es hat dann auch für eine Stunde funktioniert.

Nach dem zweiten oder dritten Neustart ist das Problem aber wieder da - nur dass nun die dll einen anderen Namen hat.

Hätte ich denn auch im abgesicherten Modus bzw. Vorher die Systemwiederherstellung ausschalten müssen ?

Hier noch mal das aktuelle Logfileergebnis:


Logfile of HijackThis v1.97.7
Scan saved at 14:37:55, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\system32\javazf32.exe
C:\WINDOWS\system32\ntvl32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\MSuma32.exe
C:\WINDOWS\System32\msnmsgr.exe
C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Anwendungen\Scanner und Viren\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yexjv.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://yexjv.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://yexjv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yexjv.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://yexjv.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yexjv.dll/sp.html#96676
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {19313A03-FF80-F8F6-1CA0-41EB510809FD} - C:\WINDOWS\system32\creq32.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\Run: [msn] msnmsgr.exe
O4 - HKLM\..\Run: [ntvl32.exe] C:\WINDOWS\system32\ntvl32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\ANWEND~1\SCANNE~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\RunServices: [Microsoft UMA Update] MSuma32.exe
O4 - HKLM\..\RunServices: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft UMA Update] MSuma32.exe
O4 - HKCU\..\Run: [msn] msnmsgr.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKLM\..\RunOnce: [javazf32.exe] C:\WINDOWS\system32\javazf32.exe
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O14 - IERESET.INF: START_PAGE_URL=hxxp://GLOBAL.ACER.COM/
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - hxxp://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38150.7555439815
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F20F4D3-D579-45F7-9F09-0191AEA168CC}: NameServer = 194.97.173.125 194.97.3.83


Bin doch recht entmutigt langsam muss ich zugeben :-(((

Und wieso habe ich jetzt Mozilla einträge drin, wo ich das doch gar nciht habe ? Liegt das an den letzten XP Updates die ich mir gerade noch mal heruntergezogen habe ?

Alt 17.06.2004, 14:49   #9
Olo
 

Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



probiert das gesamte bitte nochmal ohne systemwiederherstellung @ xp user

den IE nur zum windowsupdaten und online scans benutzen für alles andere einen alternativ browser

dann mal den trendmicro scan laufen lassen
die scheinen ja die signatur zu dieser malware zu haben

und da waern wir wieder bei malware:
das sind programmer scripts o.ä. die vom user nicht gewünscht sind und schaden anrichten (können)
darunter fallen viren trojaner würmer hijacker usw...


</font><blockquote>Zitat:</font><hr />3. Seht ihr in meinem Lofile oben noch andere Einträge, die auf exe. Dateien verweisen, die mein System schädigen könnten ? </font>[/QUOTE]grundsätzlich (wie oft sag ich das eingeltich noch ..^^) gilt das jede exe malware sein kann
allerdings kannst du davon ausgehen das wenn du eine exe im systemordner hast und diese niemandem bekannt ist und auch unter google keinen einzigen eintrag ergibt mit hoher wahrscheinlichkeit malware ist
die gängisten prozesse lassen sich wie oben beschieben auf bestimmten seiten finden
allerdings musst du auch da aufpassen, da svchost.exe zum bsp ein system prozess ist svshost.exe aber malware
wenn du dir nicht sicher bist die datei scannen lassen
__________________
Die Suchfunktion des Boards

Alt 17.06.2004, 15:29   #10
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Hallo Olo, Lutz und auch alle anderen.

Nochmals danke: Ich resumiere noch einmal an dieser Stelle:

Ich lasse also die exe Dateien von denen ich nicht weiß ob sie Malware sind oder nicht bei http://www.kaspersky.com/scanforvirus scannen und entferne sie dann ggf.

Und welches Tool von "trendmicro" muss ich benutzen und wo genau kann ich mir den "trendmicro scan" herunterladen? Auf deren Seite sind unter Produkte zig Programme aufgelistet. Was brauche ich und wie muss ich vorgehen ?

Ich verliere etwas den Überblick, da ich in den letzten 2-3 Tagen soviele neue Programme und Scans benutzt habe wie noch nie in meinem Leben (hab erst seit letztem Samstag einen XP Rechner).

Alt 17.06.2004, 15:56   #11
Lutz@Work
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\MSuma32.exe und [msn] msnmsgr.exe</font>[/QUOTE]Diese Dateien erscheinen mir zunehmend verdächtig.
Bitte auch bei Kaspersky scannen oder gleich eScan im abgesicherten Modusdes Rechners einsetzen (s. Signatur).

Bitte auch in der Registry nach diesen Dateien suchen und nach den im Log genanannten DLL's. Auch eine Suche in der Registry nach #96676 kann zumindest nicht schaden.
Wenn passende Werte in der Registry gefunden werden, diese löschen.
Achtung: Ich empfehle bei jedem Eingriff in die Registry vorher ein Backup davon zu machen.

Gruß,
Lutz

Anwender von XP und ME sollten zunächst die Systemwiederherstellung deaktivieren.


Nachtrag: Kannst Du mal schauen, ob Du im Taskmanager diesen (oder einen ähnlichen) Prozess findest: __NS_SERVICE_3?

[ 17. Juni 2004, 17:09: Beitrag editiert von: Lutz@Work ]
__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Alt 17.06.2004, 16:33   #12
DonStefano
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



Hallo,

die Dateien C:\WINDOWS\System32\MSuma32.exe und [msn] msnmsgr.exe erscheinen mir auch verdächtig.

Und hat C:\WINDOWS\system32\lsass.exe etwas mit Sasser zu tun oder ähnlichem ?

Wie mache ich denn eine Sicherungskopie der Registirerung ? Einfach regedit kopieren und unter anderem Namen abspeichern ?

Einen Prozess namens Prozess findest: __NS_SERVICE_3 oder ähnlich kann ich nicht finden, nur "services.exe".

Ich werde dies alles morgen ausprobieren - komme heute leider nicht mehr dazu und meine Erfahrungen ausführlich berichten.

Weiß noch jemand welches Tool von "trendmicro" ich benutzen muss und wo genau ich mir den "trendmicro scan" herunterladen kann ?

Alt 17.06.2004, 16:45   #13
Lutz@Work
 
Startseitenänderung mit #96676 und .exe Dateien - Beitrag

Startseitenänderung mit #96676 und .exe Dateien



</font><blockquote>Zitat:</font><hr />Original erstellt von DonStefano:
Und hat C:\WINDOWS\system32\lsass.exe etwas mit Sasser zu tun oder ähnlichem ?</font>[/QUOTE]Nicht in dem Sinne, den Du vermutlich meinst.
lsass.exe ist ein 'normaler' Prozess von WinXP wurde aber von Sasser angegriffen.

</font><blockquote>Zitat:</font><hr />Wie mache ich denn eine Sicherungskopie der Registirerung ? Einfach regedit kopieren und unter anderem Namen abspeichern ?</font>[/QUOTE]Start-&gt; Ausführen-&gt; regedit eintippen und [Enter)-&gt; es öffnet sich der Regitrierungseditor dort Datei-&gt; Exportieren. Unter Dateiname einen leicht zu merkenden Namen eingeben und bei 'Exportbereich' alles markieren.

</font><blockquote>Zitat:</font><hr />Einen Prozess namens Prozess findest: __NS_SERVICE_3 oder ähnlich kann ich nicht finden, nur "services.exe".</font>[/QUOTE]Dann wissen wir 'leider' das. Services.exe ist ebenfalls ein normaler XP-Prozess

</font><blockquote>Zitat:</font><hr />Weiß noch jemand welches Tool von "trendmicro" ich benutzen muss und wo genau ich mir den "trendmicro scan" herunterladen kann ? </font>[/QUOTE]Da ist der OnlineScanner mit gemeint: http://housecall.trendmicro.com/hous...start_corp.asp
Da dieser aber -wie der Name schon sagt- nur online funktioniert und mit dem InternetExplorer funktioniert tendiere ich in Deinem Fall zu eScan. Den kannst Du herunterladen und dann im abgesicherten Modus von XP laufen lassen.

Lutz
__________________
'Lutz@Work' ist identisch mit 'Lutz' ...<br /><br />Kaspersky OnlineScan: <a href="http://www.kaspersky.com/de/remoteviruschk.html" target="_blank">http://www.kaspersky.com/de/remoteviruschk.html</a><br />eScan:<br /><a href="http://www.mwti.net/antivirus/free_utilities.asp" target="_blank">http://www.mwti.net/antivirus/free_utilities.asp</a>

Antwort

Themen zu Startseitenänderung mit #96676 und .exe Dateien
.inf, adobe, antivirus, bho, dll, ellung, entfernen, exe-datei, explorer, handel, hijack, hijackthis, home, internet, internet explorer, launch, log, log datei, logfile, lässt sich nicht entfernen, microsoft, mozilla, neustart, nicht, object, outlook express, programme, shockwave, software, symantec, system, tcpip, trojaner, träge, viren, windows, windows xp




Ähnliche Themen: Startseitenänderung mit #96676 und .exe Dateien


  1. Nach einem Bundespolizei Trojaner foto und film dateien .enc codiert und in RTF dateien umgewandelt
    Antiviren-, Firewall- und andere Schutzprogramme - 10.04.2014 (2)
  2. Dateien auf USB-Stick Verknüpfungen echte Dateien versteckt
    Plagegeister aller Art und deren Bekämpfung - 08.04.2014 (5)
  3. USBStick: Korruption von Dateien und neu aufgetauchte Dateien (unlöschbar/korrupt, 15GB) auf 8GB Stick
    Plagegeister aller Art und deren Bekämpfung - 01.12.2013 (5)
  4. Win 7 - AVG entdeckt Virus - *.sys dateien im windows ordner- Nach Löschung entstehen neue befallene Dateien
    Plagegeister aller Art und deren Bekämpfung - 14.09.2013 (13)
  5. Qvo6 Virus. Was tun ohne den Pc neu aufsetzen zu müssen? Google Chrome Startseitenänderung
    Plagegeister aller Art und deren Bekämpfung - 26.04.2013 (11)
  6. Qvo6 Virus. Was tun ohne den Pc neu aufsetzen zu müssen? Google Chrome Startseitenänderung
    Alles rund um Windows - 22.04.2013 (1)
  7. PUP.Datamngr in Regestry-Dateien und Dateien
    Plagegeister aller Art und deren Bekämpfung - 20.02.2013 (12)
  8. Dateien "unbrauchbar", manche Dateinamen komplett verändert, Dateien nicht mehr zu öffnen...
    Plagegeister aller Art und deren Bekämpfung - 30.05.2012 (1)
  9. Nach Virusmeldung kein Zugriff mehr auf Dateien/Dateien nicht angezeigt
    Plagegeister aller Art und deren Bekämpfung - 12.08.2011 (1)
  10. Alle Dateien in .ink Dateien umgewandelt
    Plagegeister aller Art und deren Bekämpfung - 15.11.2007 (1)
  11. JPEG Dateien in GIF Dateien umwandeln
    Alles rund um Windows - 18.05.2007 (4)
  12. Wie krieg ich das weg ? html#96676
    Log-Analyse und Auswertung - 10.09.2004 (5)
  13. HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676
    Log-Analyse und Auswertung - 13.08.2004 (14)
  14. 96676 ich kriege es einfach nicht hin
    Log-Analyse und Auswertung - 01.07.2004 (10)
  15. 96676 schei*** - bekomme ich nicht weg
    Log-Analyse und Auswertung - 30.06.2004 (3)
  16. Auch ein Problem mit #96676
    Log-Analyse und Auswertung - 22.06.2004 (16)
  17. Trojaner der berühmte #96676 -> Lösung !
    Log-Analyse und Auswertung - 18.06.2004 (1)

Zum Thema Startseitenänderung mit #96676 und .exe Dateien - Hallo zusammen, Problemschilderung und erste Erkenntnisse: Ich hatte mein Problem bereits in dem Thread "Home Search Starsteite lässt sich nicht entfernen" gepostet und wurde dann von Olo darauf hingewiesen, dass - Startseitenänderung mit #96676 und .exe Dateien...
Archiv
Du betrachtest: Startseitenänderung mit #96676 und .exe Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.