Hallo Leute,
ich bin neu hier und zwar weil ich nicht mehr weiss, wo ich schnelle Hilfe für meinen Pc bekommen kann. Ich habe folgende Symptome auf meinem System festgestellt: Wenn ich im Netz unterwegs bin bekomme ich immer 10 unbekannte Favoriten zu meinen schon bestehenden hinzugefügt, meine Startseit wird einfach auf about blank gesetzt, obwohl ich immer wieder die gewünschte einstelle, beim Klick auf Links innerhalb einer Seite werde ich plötzlich auf irgendwelche dubiosen Sites geleitet, obwohl ich die Adressen schon zur Webwasher- Zugriffskontrolle hinzugefügt habe, das Häkchen in der WW-Zugriffskontrolle wird automatisch entfernt und die Adressen welche ich blockieren wollte sind ebenfalls gelöscht. Da für mich die Symptome nach Trojanern aussehen habe ich auch schon HighJackThis installiert und mit der automatischen Logfileauswertung alles ungewöhnliche gefixt, aber ich weiss nicht ob das schon reicht um die Plagegeister zu vernichten.

Also ihr seht, ich habe eine ganze Hand voller immer wiederkehrender Probleme und nicht eine gute Idee, wie ich der Sache Herr werden könnte.
Es wäre sehr Nett, wenn jemand mit ein par entscheidenten Tipps weiterhelfen könnte.

Mein Dank schon jetzt, an den- oder diejenigen, der sich die Mühe macht meinen langen Text bis zu Ende zu lesen.
MfG jannsen :headbang

@jannsen

lade dir Hijackthis hier
mache einen scan in normalen modus.
poste anschließend das logfile per copy and paste hier im board

chaosman

Also das Programm habe ich schon auf dem Pc gehabt und das erstellte Log-File sieht so aus. Aber wie verfahre ich damit?

Danke erstmal und bis bald Jannsen

Logfile of HijackThis v1.98.2
Scan saved at 11:30:09, on 13.11.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WebWasher\wwasher.exe
F:\programme\oleco\_oleco.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\System32\service.exe
F:\Dokumente\Tools\antivirspam\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\WINNT\System32\msacmx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\system32\starter.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: http://*.63.219.181.7
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9C0BAE5-925A-4972-B6A7-8CB59B69CFE5}: NameServer = 81.209.208.13 83.133.0.13
O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll
O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll
O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll

@ jannsen,

Platform: Windows 2000 SP3 (WinNT 5.00.2195): besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINNT\System32\rpcnt4.dll

--> Ergebnis?

Lade Dir SpHjfix.exe runter für diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\System32\rpcnt4.dll/sp.html (obfuscated)

O2 - BHO: (no name) - {5EEA3391-BBDD-49DA-986B-DFDAB65A52CF} - C:\WINNT\System32\rpcnt4.dll

Boote in den VGA Modus, fixe dann mit Hijack This

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O15 - Trusted Zone: h**p://*.63.219.181.7

O18 - Protocol: pcl - {182D0C85-206F-4103-B4FA-DCC1FB0A0A44} - C:\Programme\Autodesk\Inventor Professional 9\bin\HSPCLPRO10.dll
O18 - Filter: text/html - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll
O18 - Filter: text/plain - {A2E282A5-F8BC-459D-A954-7458A72487B2} - C:\WINNT\System32\rpcnt4.dll

beende:
service.exe

lösche:
C:\WINNT\System32\service.exe

boote in den normalen Modus.

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht löscht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

Danke für die Tipps, aber ich habe keine rechte Ahnung. Ich habe die dll überprüfen lassen mit folgendem Ergebniss:
Service load: 0% 100%

File: rpcnt4.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT

AntiVir No viruses found (0.45 seconds taken)
Avast No viruses found (1.65 seconds taken)
BitDefender Trojan.StartPage.FW (0.30 seconds taken)
ClamAV No viruses found (0.28 seconds taken)
Dr.Web Trojan.StartPage.192 (0.43 seconds taken)
F-Prot Antivirus W32/Startpage.EV (0.05 seconds taken)
Kaspersky Anti-Virus Trojan.Win32.StartPage.fw (0.55 seconds taken)
mks_vir No viruses found (0.18 seconds taken)
NOD32 No viruses found (0.33 seconds taken)
Norman Virus Control No viruses found (0.12 seconds taken)

danach habe ich versucht mit dem Tool SpHjfix.exe zu arbeiten, aber ohne Erfolg. Wenn ich auf desinfizieren geklickt habe hat er gemeldet, dass nix infiziert wäre, komisch oder?
Im VGA modus habe ich die service.exe gelöscht ich brauchte den Prozess aber nicht beenden, da er nicht aktiv war. den eScan habe ich noch nicht durchgeführt, weil ich die ersten Probleme mit HijackThis noch nicht gelöst habe.

Erstmal wieder was zum angucken für euch. Danke das ihr euch die Zeit nehmt für meine Probleme.

Gruß jannsen

Hallo jannsen,

dann fixe bitte die oben angegebenen Dateien im abgesicherten Modus/VGA modus mit Hijack This und lösche die Datei: C:\WINNT\System32\rpcnt4.dll ebenfalls im abgesicherten Modus.

Teile uns dann bitte das Ergebnis des eScan mit.

SD

Hallo erstmal, ich glaube ich komme der Sache so langsam auf die Spur. Hier die ergebnisse des escan
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\servises.exe infected by "not-virus:Joke.Win32.Likesurf" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\msacmx.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.
File C:\WINNT\system32\servises.exe infected by "not-virus:Joke.Win32.Likesurf" Virus. Action Taken: No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Dokumente\Tools\simx\CD_SimX3\LicMan\Setup.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Dokumente\Tools\antivirspam\backup-20041106-140025-821.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File F:\Dokumente\Tools\antivirspam\hijackthis_198\backups\backup-20041117-145330-737.dll infected by "Trojan.Win32.StartPage.fw" Virus. Action Taken: No Action Taken.
File F:\Dokumente\Tools\antivirspam\hijackthis_198\backups\backup-20041117-145330-623.dll infected by "TrojanDownloader.Win32.Agent.av" Virus. Action Taken: No Action Taken.

Was mache ich denn nun mit den neu gewonnenen Erkenntnissen?

Ich danke für Hilfe und Ermutigung, das der Rechner doch eines Tages wieder sauber läuft.

Bon week-end

@ jannsen,

bitte von Hand löschen:

1.) --> "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre)

2.) --> Boote dann in den abgesicherten Modus (VGA-Modus), "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" (Cidre) Nach dem löschen in den normalen Modus booten.

Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Dateien mit der Information "tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken." brauchen nicht gelöscht zu werden.

Lade ausserdem unter Entfernungstools von Spyware und Adware noch 'Ad-Aware 6 Personal' runter, scanne damit Deinen Rechner und lass die bestehenden Probleme beheben.

Erstelle dann ein neues Hijack This Logfile und poste es.
SD

@Shadowdance
Ich bin verfahren wie geraten. Nur mit dem Eintrag Trusted zone habe ich noch probleme, den habe ich nicht gefixt bekommen. Die Software Ad-aware Personal SE habe ich auch laufen lassen und die Probleme beseitigen.
Hier das Log file von Heute
Logfile of HijackThis v1.98.2
Scan saved at 21:56:47, on 28.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\Explorer.EXE
C:\WINNT\system32\starter.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\WebWasher\wwasher.exe
F:\Dokumente\Tools\antivirspam\hijackthis_198\HijackThis.exe

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\system32\starter.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [WebWasher] C:\Programme\WebWasher\wwasher.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: EPSON Status Monitor 3.2 Environment Check.lnk = C:\WINNT\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.63.219.181.7

Also ich danke dir wenn du nochmal drüberschaust und vielleicht den einen oder anderen Tipp parat hast.
Schönen 1.Advent noch und bis bald

Zitat:

Trusted zone habe ich noch probleme, den habe ich nicht gefixt

IE -> Extras -> Internetoptionen -> Sicherheit -> Vertrauenswürdige Sites -> Sites -> Seite markieren und entfernen

Ansonsten ist dein Log-File sauber.

Zitat:

Zitat von Cidre

IE -> Extras -> Internetoptionen -> Sicherheit -> Vertrauenswürdige Sites -> Sites -> Seite markieren und entfernen

Ich fürchte, so wird es nicht gehen, bzw. es wird nicht ausreichen, die Seite manuell aus den vertrauenswürdigen Seiten herauszunehmen.
Näheres ist hier (in englisch) nachzulesen:
http://www.wilderssecurity.com/showp...7&postcount=35

Die auf der Seite genannten Lösungsansätze sind unter Umständen nicht eben trivial. Daher kann ich im Moment nur mit äußerster Zurückhaltung zur Durchführung raten. Da ich aber im Büro auch einen Rechner mit dem gleichen Symptom zu stehen habe, kann ich (hoffentlich) morgen genaueres hierzu sagen bzw. schreiben...

@ Lutz

Interessanter Link.
Ich lass mich überraschen und halt uns bitte auf dem Laufenden.

Zitat:

Zitat von Cidre

Ich lass mich überraschen und halt uns bitte auf dem Laufenden.

Erst einmal werde ich mich selbst morgen überraschen lassen...
Natürlich werde ich anschließend berichten!

Zitat:

Zitat von Cidre

... und halt uns bitte auf dem Laufenden.

Na, denn woll wir mal:
Also, ich habe heute morgen aus o.g. Link zum Wilders-Forum das Tool Ms4Hd_look heruntergeladen und ausgeführt. Dieser Schritt erscheint mir auch für den 'Laien' unbedenklich, da dadurch imho nichts auf dem System verändert wird.
Mit Ms4Hd_look wirdeine Log-Datei erstellt, in der je nach Hijacking-Version eine mehr oder wenige große Zahl an suspekten Dateien aufgelistet, welche von HijackThis nicht erkannt/erfasst werden können.
Bei meinem 'Beispiel-Rechner' waren es die Dateien

Zitat:

C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\ie4unit.exe
C:\WINDOWS\system32\ipxroutex.exe
C:\WINDOWS\system32\rdshost32.exe
C:\WINDOWS\system32\rshe.exe
C:\WINDOWS\system32\net2.exe
C:\WINDOWS\system32\mqsvch.exe
C:\WINDOWS\system32\dllhostxp.exe
C:\WINDOWS\system32\extrac16.exe
C:\WINDOWS\system32\mqbckup.exe
C:\WINDOWS\system32\pxhping.exe
C:\WINDOWS\system32\rdpnr.exe
C:\WINDOWS\system32\slservc.exe
C:\WINDOWS\system32\clfmon.exe
C:\WINDOWS\system32\hdr.dll
C:\WINDOWS\system32\msacmx.dll
C:\WINDOWS\system32\d3dxov.dll
C:\WINDOWS\system32\winsrv32.dll

Also, genau wie bei Wilders unter Variante 1 angegeben.
Die Dateien wurden teilweise unter verschiedenen Schlüsseln mehrfach in der look.log angezeigt.

Etwas kniffliger wird es dann schon, wenn man mit Killbox die infizierten Dateien löscht. Dabei sollte man schon sehr behutsam vorgehen und nicht -evtl. durch einen Schreibfehler- versehentlich eine wichtige Datei löschen.
Ist diese Hürde genommen, kann man auch die Registry-Datei aus dem Wilders-Thread ausführen, um damit die Registry zu bereinigen. Je nach Hijacker und evtl. Vorarbeiten z.B. mit eScan, muss anschließend noch mal mit HijackThis gefixt werden. In meinem konkreten Fall war der ominöse 015-Eintrag allerdings schon entfernt....

Soweit erste Erkenntisse. Ich bin ein bisschen in Zeitdruck. Wenn sich aber Bedarf ergeben sollte, bin ich gerne bereit, dass ganze noch mal etwas ausführlicher zu beschreiben....

@ Lutz

Merci, für die Info.