Trojaner-Board - Mit den Nerven am Ende...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mit den Nerven am Ende... (https://www.trojaner-board.de/10451-nerven-ende.html)

Mit den Nerven am Ende...

Hi!

Hab mir vor ein paar Tagen ein Hijack-Programm eingefangen und werde es nicht wieder los. Beim Aufrufen einer Seite mit dem IE leitet es häufig automatisch weiter auf www.spotresults.com, außerdem öffnen sich ständig selbstständig irgendwelche Fenster mit Werbung. Nach einer Weile wird auch das System zunehmend instabil, so daß es also mehr als nur nervig ist. Hab schon alles durch, Spybot, Ad-Aware, CWShredder, Hijackthis, aber das Problem scheint darin zu bestehen, daß sich auch nach dem Löschen von auffälligen Sachen dieser Mistgrepel bei jedem Neustart wieder neu installiert. Ich bin mit meinem Latein echt am Ende, vielleicht kann sich einer von Euch das ja mal anschauen, wäre seeeeehr dankbar:

Logfile of HijackThis v1.98.2
Scan saved at 20:09:11, on 05.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ATI2EVXX.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\CTFMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS19802.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-carlzeiss-jena.de/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [dlder] C:\WINDOWS\EXPLORER.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\SYSTEM\hpztsb05.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [MDM7] "C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\VS7DEBUG\MDM.EXE"
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MSOFFICE\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download...basetup155.cab

Hi,

diesn Prozess beenden und dann manuell löschen:

C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

Das fixen:

O4 - HKLM\..\Run: [dlder] C:\WINDOWS\EXPLORER.EXE

O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE

Wenn du diese Einträge nicht kennst, auch fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.fc-carlzeiss-jena.de/index.php

O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/downloa...abasetup155.cab

Lass dieses Programm hier überprüfen und poste das Ergebnis:

C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE

Hi Steveman,

hab alles so gemacht, aber das von Dir verlinkte Programm hat nix gefunden, Status "OK".

Die Probleme aber sind geblieben.

@ _Stefan_

--> sende bitte diese Datei

C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSDMN.EXE

passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de mit Hinweis auf diesen Thread - zu Forschungszwecken ... vielleicht handelt es sich um neue Malware.

--> Um herauszufinden, ob und welche Malware sich auf Deinem Rechner befindet, lade den eScan (Link zum Link) (mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter. Beachte die Anleitung. Du musst (!) für den eScan einen neuen Ordner (=Verzeichnis) "c:\bases" erstellen. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

--> Teile uns das Ergebnis des eScan mit (öffne dazu die mwav.log): wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

--> Beachte bitte diese beiden Links: Entfernung von Schädlingen und Kompromittierung unvermeidbar?.

SD

Hi!

Hier das Resultat des eScan. Die MOSDMN.EXE ist sauber.

[0xfff3212b] 07/12/2004 00:16:35:900 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM
[0xfff3212b] 07/12/2004 00:16:35:960 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]TimeOut : ffffffff
[0xfff3212b] 07/12/2004 00:16:37:440 :[msvLclnt.dll]Priority : NORMAL
[0xfff3212b] 07/12/2004 00:16:38:100 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07
[0xfffce51f] 07/12/2004 00:24:44:800 :[msvLclnt.dll]ModuleName = C:\BASES\MWAVSCAN.COM
[0xfffce51f] 07/12/2004 00:24:44:800 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffce51f] 07/12/2004 00:24:48:310 :[msvLclnt.dll]Priority : NORMAL
[0xfffce51f] 07/12/2004 00:24:49:240 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07
[0xfffbb74b] 07/12/2004 00:29:22:770 :[msvLclnt.dll][00000001] File

C:\WINDOWS\TEMP\ICD1.tmp\EroticAccess.exe infected by Trojan.Win32.Dialer.ck
[0xfffbb74b] 07/12/2004 00:29:22:940 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\ICD1.tmp\EroticAccess.exe infected by Trojan.Win32.Dialer.ck
[0xfffbb74b] 07/12/2004 00:32:12:550 :[msvLclnt.dll][00000001] File C:\WINDOWS\TEMP\WToolsB.dll infected by not-a-virus:AdWare.Wintol.p
[0xfffbb74b] 07/12/2004 00:40:33:960 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\setup[1].cab infected by TrojanDownloader.Win32.Agent.t
[0xfffbb74b] 07/12/2004 00:40:34:020 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\setup[1].cab infected by TrojanDownloader.Win32.Agent.t
[0xfffbb74b] 07/12/2004 00:42:40:240 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\G0XQU5IC\Installer[1].exe infected by not-a-virus:AdWare.Look2Me
[0xfffbb74b] 07/12/2004 07:29:31:320 :[msvLclnt.dll][00000001] File C:\WINDOWS\Temporary Internet Files\CONTENT.IE5\7JDRJ5OW\180ax[1].exe infected by not-a-virus:AdWare.180Solutions
[0xfffbb74b] 07/12/2004 08:06:53:330 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\JeA1500.DLL infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 08:23:38:790 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\Page 3 - Helle-uninstall.exe infected by not-a-virus:PornWare.Dialer.Generic
[0xfffbb74b] 07/12/2004 08:24:29:160 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\WzAUPD98.DLL infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 08:32:41:400 :[msvLclnt.dll][00000001] File C:\WINDOWS\OPTIONS\CABS\MODEM\MULTI\MODEM020\PCTPTT.EX_ infected by not-a-virus:PornWare.Dialer.Generic
[0xfffbb74b] 07/12/2004 08:55:51:290 :[msvLclnt.dll][00000001] File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by not-a-virus:AdWare.Gator.1019
[0xfffbb74b] 07/12/2004 09:28:53:550 :[msvLclnt.dll][00000001] File C:\WINDOWS\VT00.exe infected by Trojan-Downloader.Win32.Lookme.g
[0xfffbb74b] 07/12/2004 09:28:55:260 :[msvLclnt.dll][00000001] File C:\WINDOWS\VT00.exe infected by Trojan-Downloader.Win32.Lookme.g
[0xfffbb74b] 07/12/2004 09:31:55:140 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VCWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:31:57:940 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\DPBENG.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:31:59:750 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VWWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:01:620 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VOWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:05:960 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\WTAUPD98.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:07:660 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\WJAUPD98.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:09:470 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VTWWDM32.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:11:280 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JHAD500.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:13:040 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JVAD500.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:15:020 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JJAA500.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:17:990 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MOVCP70.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:20:180 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MEVCP70.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:21:890 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\DFRAW16.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:24:030 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VOWWDM32.1 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:26:330 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\MKVCP70.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:28:970 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JTAD500.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:30:620 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\VWWWDM32.1 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 09:32:32:100 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\JZAD500.0 infected by not-a-virus:AdWare.Look2Me.l
[0xfffbb74b] 07/12/2004 18:25:13:900 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Spaß\gleisbetretung.rar infected by not-virus:Joke.Win32.KnijpMe
[0xfffbb74b] 07/12/2004 18:25:15:170 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Spaß\gleisbetretung.rar infected by not-virus:Joke.Win32.KnijpMe
[0xfffbb74b] 07/12/2004 19:24:44:340 :[msvLclnt.dll][00000001] File C:\Download\ymsgrde.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffbb74b] 07/12/2004 19:25:29:650 :[msvLclnt.dll][00000001] File C:\Download\napv2b9-6.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffbb74b] 07/12/2004 19:25:36:960 :[msvLclnt.dll][00000001] File C:\Download\napv2b10.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffbb74b] 07/12/2004 19:26:10:840 :[msvLclnt.dll][00000001] File C:\Download\napv2b10-4.exe infected by not-a-virus:Tool.Win32.Reboot
[0xfffbb74b] 07/12/2004 20:55:45:630 :[msvLclnt.dll]VirusCount = 111708 Latest Date = 2004/12/07

Lade dir Clearprog um die temporären Dateien zu löschen.
Lösche:
C:\Download\ymsgrde.exe
C:\Download\napv2b9-6.exe
C:\Download\napv2b10.exe
C:\Download\napv2b10-4.exe
C:\Eigene Dateien\Spaß\gleisbetretung.rar
C:\Eigene Dateien\Spaß\gleisbetretung.rar

Deaktiviere die Systemwiederherstellung (rechtsklick auf Arbeitsplatz--->Eigenschaften--->Systemwiederherstelllung---->Häkchen bei :"Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen

Neustart-Systemwiederherstellung anschalten.

MOSEARCH gehört zu Office.