Trojaner-Board - Crazywinnings eingefangen, was jetzt???

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Crazywinnings eingefangen, was jetzt??? (https://www.trojaner-board.de/10475-crazywinnings-eingefangen.html)

Crazywinnings eingefangen, was jetzt???

Ich habe mir auf dem Firmenrechner den HiJacker "Crazywinnings" eingefangen. Ich bin jetzt schon den ganzen Tag am suchen und versuchen, diesen wieder loszubekommen aber dies ist mir nur teilweise gelungen. Unter "Vertrauenswürdige Sites" erscheint die Seite "*.frame.crazywinnings.com" immer wieder. Anfangs stand dort auch noch "*.frame.topconverting.com" welche ich aber mit Ad aware von Lavasoft eliminieren konnte. Jetzt weiß ich absolut nicht mehr weiter. Wer kann mir helfen???

PS: Bin ziemlicher Laie wenn es um die Innereien eines PC's geht, daher bitte so einfach wie möglich beschreiben (halt für Dumme).

Vielen Dank im Voraus
Hille34

Poste ein HijackThis Logfile in diesen Thread!

Ich bin jetzt leider schon zu Hause. Habe dies am privaten PC schon mal ausprobiert, damit es im Büro Morgen auch schnell geht. Werde es sofort am frühen Morgen durchführen. Ich habe von Mittwoch bis Freitag Urlaub. Ich hoffe, das Problem vielleicht schon Dienstag gelöst zu haben?

Gruß
Hille34

So, ich habe das mit Hijackthis gemacht und folgendes kam bei raus. Ich hoffe, du kannst damit was anfangen und mir sagen, was zu tun ist.
Logfile of HijackThis v1.98.2
Scan saved at 07:55:24, on 07.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\NavNT\vptray.exe
C:\winnt\180ax.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\BullsEye Network\bin\bargains.exe
C:\DOKUME~1\HI\EIGENE~1\NEUERO~1\WINZIP\winzip32.exe
C:\WINNT\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://linux/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = linux:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = linux;<local>
O1 - Hosts: 129.100.1.10 gateway_edv
O1 - Hosts: 129.100.1.138 pc_2_108
O1 - Hosts: 129.100.1.1 rmsudis
O1 - Hosts: 129.100.1.6 mpdv2
O1 - Hosts: 129.100.1.108 linux
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKLM\..\Run: [180ax] c:\winnt\180ax.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/...sb_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab

Nochmals Danke im Voraus.
Gruss
Hille34

Lösche dies im abg. Modus:

C:\winnt\180ax.exe
C:\Programme\BullsEye Network
C:\WINNT\system32\msbe.dll

Fixe mit HijackThis dies:

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\PROGRA~1\YOURSI~1\ysb.dll
O4 - HKLM\..\Run: [180ax] c:\winnt\180ax.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://207.234.185.217/ABoxInst_int3.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares...ysb_regular.cab
O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab

Scanne anschl. mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Schützen würde dich ein anderer Browser: www.firefox-browser.de ist sicher und kostenlos.

www.windowsupdate.com besuchen!

Hallo Christian,

erstmal vielen Dank für die Hilfe. Leider hat es noch nicht den gewünschten Erfolg gehabt.

Folgende Zeile läßt sich nicht fixen:
015 - Trusted Zone: *.frame.crazywinnings.com

Alles andere konnte ich löschen bzw. fixen. Das Problem besteht dadurch aber weiterhin.

Was kann ich jetzt noch tun?

Gruß
Holger

Hallo Holger,

versuche es mal so, wie ich es hier beschrieben habe.

Hallo Lutz,

das war genial. Hab es genauso gemacht und das Gespenst ist endlich weg. Es macht mich nur noch etwas stutzig, dass unten rechts im Internet noch immer permanent "Vertrauenswürdige Sites" steht und nicht "Internet".
Unter Extras/Internoptionen sind aber kein Eintrag mehr bei den Vertrauenswürdigen Seiten vorhanden und das ist erstmal das wichtigste.
Ganz großen Dank für die Hilfe !!!
Wenn es noch irgendwas gibt, was ich tun kann, damit ich mich nicht permanent auf Vertrauenswürdigen Seiten wandeln muß, dann wäre ich für den Tip ebenfalls sehr dankbar.

Anbei auch noch das neueste Logfile vom Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 10:25:05, on 13.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\NavNT\vptray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Dokumente und Einstellungen\hi\Eigene Dateien\Neuer Ordner\Antspy\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://linux/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = linux:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = linux;<local>
O1 - Hosts: 129.100.1.10 gateway_edv
O1 - Hosts: 129.100.1.138 pc_2_108
O1 - Hosts: 129.100.1.1 rmsudis
O1 - Hosts: 129.100.1.6 mpdv2
O1 - Hosts: 129.100.1.108 linux
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Gruß
Holger

Noch zu fixen und zu löschen:

O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Außerdem läuft bei dir ein Prozess, der zu Adware gehört, aber nicht in der Startliste von HJT auftaucht:

C:\Programme\BullsEye Network\bin\bargains.exe

Auch der gehört entfernt/deinstalliert, allerdings weiss ich nicht so recht, wieso er läuft. Versuche, es unter Software zu deinstallieren, ansonsten im abgesicherten Modus löschen.

Zitat:

C:\Programme\BullsEye Network\bin\bargains.exe

Da ihr bei Euch offensichtlich die Corporate Edition von Norton AV einsetzt, hier mal ein Link zur Symantec-Beschreibung

Da es sich um einen Firmenrechner handelt, bin ich immer etwas (über-)vorsichtig. Wenn Du nicht selbst der Admin der Maschine bist, informiere ihn bitte über die 'Vorgänge' auf dem Rechner und zeige ihm diesen Threrad, damit er sich informieren kann, was gelaufen ist.

Ansonsten solltet ihr mal abklären, ob irgendetwas in Eurem 'Betrieb' gegen den Einsatz des InternetExplorer 6 spricht

Zitat:

MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Noch besser wäre natürlich ein alternativer Browser, wie Firefox, Mozilla oder Opera.
Aber bitte keine Selbstversuche ohne Segen vom Admin!

Die 3 Zeilen habe ich noch gefixt. Mit dem Bullseye ist das schon merkwürdig. Ich hatte es heute früh auf deinen Geheiß schon mal gelöscht und ist jetzt wieder da gewesen. Jetzt habe den ganzen Ordner "Bullseye" wieder komplett gelöscht und den Rechner neu gestartet. Der Mist ist somit auch gleich wieder da. In dem Ordner ist ein "Uninstall.exe" vorhanden. Soll ich das mal ausprobieren?

Die Datei "Winnt/System32/msbe.dll hatte ich heute auch schon mal im abgesicherten Modus gelöscht und ist auch wieder da. Muß mich beunruhigen?

Auf "Vertrauenswürdigen Seiten surfe ich übrigens immer noch.

Zur Sicherheit hier noch das neueste Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:24:53, on 13.12.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\dpmw32.exe
C:\WINNT\system32\NWTRAY.EXE
C:\Programme\NavNT\vptray.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\BullsEye Network\bin\bargains.exe
C:\Dokumente und Einstellungen\hi\Eigene Dateien\Neuer Ordner\Antspy\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://linux/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = linux:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = linux;<local>
O1 - Hosts: 129.100.1.10 gateway_edv
O1 - Hosts: 129.100.1.138 pc_2_108
O1 - Hosts: 129.100.1.1 rmsudis
O1 - Hosts: 129.100.1.6 mpdv2
O1 - Hosts: 129.100.1.108 linux
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINNT\system32\msbe.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [ICQ Net] C:\WINNT\winlogon.exe -stealth
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Next Try:

Starte mal die Eingabeaufforderung
Start -> Ausführen -> cmd eintippen

dann
cd %WinDir%\System [Enter]

regsvr32 /u \Programme\BullsEye Networking\bin\bargains.exe [Enter]

Beende die EIngabeaufforderung durch Eingabe von exit [Enter]

Hierdurch wird di Datei 'de-registrierd' (mir fällt grad kein besseres deutsches Wort ein...)

Anschließende beende den Prozess bargains.exe über den Taskmanager [Strg]+[Alt]+[Entf]

Jetzt sollte es möglich sein, das gesamte Verzeichnis C:\Programme\BullsEye Networking zu löschen.

Suche dann in der Registry nach diesen Pfaden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Wird dort die Datei bargains.exe aufgeführt, lösche diesen Wert.

Anschließend lösche noch einmal diese Datei:
C:\WINNT\system32\msbe.dll

Der Uninstalller von BullsEye hat funktioniert, das Programm ist weg. msbe.dll habe ich auch nochmal gelöscht, den Rechner neu gestartet und ist jetzt auch weg. Ad Aware hat auch nichts mehr gefunden.

Im Prinzip ist alles ok, wenn nicht dauernd angezeigt würde, dass ich auf "Vertrauenswürdigen Sites" bin. Das ist ja auch nicht wirklich tragisch, ist aber langsamer. Die Internetoptionen/Erweitert habe ich mit einem anderen Rechner verglichen und keine Unterschiede feststellen können. Wer hierfür noch einen Tip hat, ist herzlich willkommen.

Ansonsten frohe Weihnachten, guten Rutsch und vielen Dank.
Holger

Eine Lösung zum noch vorhandenen Problem hab ich im Moment nicht.
Aber schau Dir bitte die Einstellungen für die vertrauenswürdigen Sites an.
Nicht, dass Du -bis zu einer Lösung des Problems- mit zu laschen Einstellungen dieser Zone surfst und Du Dir schneller etwas einfängst, als Du gucken kannst.

Hallo Lutz,

das hatte ich vorsorglich schon gemacht. Die Sicherheitsstufe stand auf kleinster Flamme und habe ich jetzt auf Mittel gesetzt.

Gruß
Holger