Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   freshbar (https://www.trojaner-board.de/10772-freshbar.html)

Samtailor 14.12.2004 22:48
freshbar
 
Hier meine Hijackthis-Log

Habe das Problem mit der sog. Freshbar. Habe ewido, CWShredderer, Spybot, Spy Substract, Anti Vir durchlaufen lassen. Ohne Erfolg, sie haben die verantwortlichen dateien nicht gefunden.

Wie im Log zu sehen ist, ist da bei R1 und O3 der verantwortlicher Eintrag. In der Registrierung findet sich auch ein Eintrag für die Freshbar (die andren hab ich gelöscht und kehren auch nicht wieder). Zudem ist in Windows\System32 die beiden Dateien: iecust.dll und iecust.exe. Wenn ich all dies lösche ist das problem weg. Sobald ich aber neustarte taucht es nach einer Weile wieder auf.

Achja wie ich ja wahrscheinlich nicht zu erwähnen brauche erscheinen bei mir regelmäßig Popup-fenster...

Logfile of HijackThis v1.98.2
Scan saved at 17:31:35, on 14.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\SpyKiller\spykiller.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\hijackthis\HijackThis.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = ***.***.***.***

Kann mir wer helfen?

*Christian* 15.12.2004 13:43
Lösche dies im abg. Modus:

E:\WINDOWS\System32\iecust.dll




Fixe dies mit HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll


Sende die Datei E:\WINDOWS\System32\iecust.dll bitte vorher an partytime-germany.ice@web.de

Samtailor 15.12.2004 18:14
Nein, das habe ich schon alles gemacht. (steht oben im post)
Habe es dann auch gestern geschafft, dass die Einträge

"R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll"

beide verschwinden... Ebenso die Dateien im Win32 Ordner. Und auch die Registry weist auch nach mehrer Neustarts keine mir bekannt gefährlichen Dateien auf. Jedoch ist das eigentlich problem nicht gelöst: Die nervigen Pop-Ups. Was ich bisher erreicht hab ist nur die Freshbar wirklich wegzubekommen. ich poste nochmal aktuellen Stand meines Log-Files:


Logfile of HijackThis v1.98.2
Scan saved at 18:01:16, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\WINDOWS\system32\logonui.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe
E:\Programme\Internet Explorer\IEXPLORE.EXE
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

Wie man sieht, ist gut aufgeräumt, aber das Problem zum teil immer noch da...

*Christian* 15.12.2004 20:10
Du hast dir zwischenzeitlich ja schon wieder was eingefangen:

E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\nlsfuncs.exe
E:\WINDOWS\System32\openconf.exe

checke diese Dateien hier: http://virusscan.jotti.org/de

Samtailor 15.12.2004 20:17
wie kann das denn sein? ich war net großartig im Internet bis auf Fehlerlösungmöglichkeiten suchen... :(
Sind meine Firewall und meine tausend andren Blockertools umsonst?

Und zu den Dateien, die du angegeben hast. Die wurden zuletzt geändert 2001, also sind von anfang an da und ich denke deshalb net infiziert.

Irgendwie bin ich bald am verzweifeln. hab mich soviel infortmiert und mache schon vier Tage dran rum mit tausenden Tools und es hilft alles nix... :balla:

Samtailor 15.12.2004 21:57
aktueller stand:
 
Logfile of HijackThis v1.98.2
Scan saved at 21:56:53, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\csrss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVGUARD.EXE
E:\Programme\AVPersonal\AVWUPSRV.EXE
E:\Programme\ewido\security suite\ewidoctrl.exe
E:\WINDOWS\System32\nvsvc32.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\ZoneLabs\vsmon.exe
E:\WINDOWS\System32\RunDll32.exe
E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
E:\Programme\AVPersonal\AVGNT.EXE
E:\WINDOWS\explorer.exe
E:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Zone Labs Client] "E:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] "E:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpyKiller] E:\Programme\SpyKiller\spykiller.exe /startup
O4 - HKCU\..\Run: [BestPopUpKiller] E:\Programme\BestPopUpKiller\BestPopupKiller.exe /startup
O4 - Global Startup: SpySubtract.lnk = E:\Spy Substract\SpySub.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - E:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1103142192104
O17 - HKLM\System\CCS\Services\Tcpip\..\{B581EBDD-9C2A-4F3E-A010-C638BBB96862}: NameServer = 192.168.123.254

kann das jem. mal angucken?

eBe 15.12.2004 22:46
Tag,

das selbe Problem wie du hatte ich heute auch. Hat doch ziemlich lange gebraucht bis ich eine Lösung gefunden hatte. Ich habe bei mir erst auch alle üblichen Tool wie Ad-Aware, Spybot.... usw. durchlaufen lassen aber mit mäßigem Erfolg. Alle Dateien die ich im Abgesicherten Modus gelöscht habe kamen immer wieder.

Dann hab ich mir mal das Tool BHODDemon runtergeladen (http://www.spywareinfo.com/downloads/bhod/)
und hab festgestellt dass so eine ominöse msz{.dll als Browser Helper Object definiert war. Hab die deaktiviert und dann diese mal im Abgesicherten Modus rausgeschmissen, genauso wie die Dateien:
E:\WINDOWS\System32\unlodctl.exe
E:\WINDOWS\System32\iecust.dll
E:\WINDOWS\System32\iecust.exe

Natürlich auch im HiJackThis die Einträge
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - E:\WINDOWS\System32\iecust.dll
fixen.

und nach einem Neustart: Siehe da alles wieder klar.
Weiss jetzt nicht ob das bei deinem Problem auch hilft, aber einen Versuch ist es vllt wert.

Viel Glück.

MfG
eBe

Cidre 15.12.2004 23:17
Zitat:
Sind meine Firewall und meine tausend andren Blockertools umsonst?
JA

Zitat:
hab mich soviel infortmiert und mache schon vier Tage dran rum
Dann ist dir mit Sicherheit nicht entgangen, dass du mit administrative Rechte durch die Gegend sufst, der IE unsicher konfiguriert ist und dein System völlig, wahrscheinlich auch andere Software, ungepatcht ist.

Eventuell kannst du dein Problem lösen, aber wenn du dein Verhalten nicht änderst, dann wird dieser Zustand schneller wieder eintreten als dir lieb ist.

Samtailor 16.12.2004 14:40
@eBe: Danke für deine Infos...

@Cidre: Ich weiß net, was du hast, ich habe mich, obwohl ich net viel Ahnung habe, was Hijacking ist, und bevor ich euch nur mit Fragen nerve, die ihr zehnmal am Tag hört, informiert und versucht alles herauszufinden, was man machen muss. Ich bin gerne bereit mein "Verhalten", was du als negativ und unvorausschauend ansiehst, zu ändern. Aber anstatt mich nur drauf hinzuweisen, dass ich was falsch gemacht habe (worauf ich schon selber gekommen bin), solltest du lieber erläutern, was du konkret meinst.
Denn mit diesem Satz kann ich nichts anfangen: "..dass du mit administrative Rechte durch die Gegend sufst..." Bitte erklär, was du meinst und sage mir wie ichs verbessern kann...

*Christian* 18.12.2004 00:50
Bei XP besteht die Möglichkeit einen Account als ADMIN und als USER einzurichten. Es empfiehlt sich nicht, als ADMIN zu surfen.

Hier einige Infos, wie du dich in Zukunft vor Malware schützen kannst:
http://www.mathematik.uni-marburg.d...compromise.html
http://faq.underflow.de/
http://faq.jors.net/virus
http://www.dingens.org/
http://ntsvcfg.de/

Samtailor 19.12.2004 15:39
@Christian: Vielen dank Christian für deine Infos...

@Cidre: Du hattest natürlich recht. Ich bin als Administrator rumgeservt, hab es jetzt aber geändert und werd nur noch eingeschränkt rumserven. Vielen dank für den Hinweis. Trotzdem bin ich der Meinung du hättest es optimistischer und mit mehr Hilfestellung mir unterbreiten können. Nichts für ungut...


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:58 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131