Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Was mache ich falsch oder übersehe ich ??? (https://www.trojaner-board.de/14196-mache-falsch-uebersehe.html)

Vilstaler 20.02.2005 19:11
Was mache ich falsch oder übersehe ich ???
 
Hallo zusammen,
ich habe mir vor 2 Tagen einen ziemlich hartnäckigen Hijacker eingefangen und versuche seitdem mit bescheidenen Mitteln vergeblich, ihn zu entfernen, da ich nun wirklich kein Experte auf diesem Gebiet bin. Kurzzeitig erreiche ich mein Ziel zwar, aber nach einiger Zeit ist er immer wieder da. Folgende Schritte führe ich hierzu immer aus, aber anscheinend reicht das nicht, irgendwie scheine ich noch etwas zu vergessen oder besser gesagt nicht zu wissen. Vielleicht kann mir hier ja jemand weiterhelfen.
Also nachdem das Problem auftritt und ich einen HijackThis-Log erstellt habe starte ich den PC im abgesicherten Modus und fixe die Beiträge

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {967898A2-836D-11D9-BB30-0030CBA264EF} - C:\WINDOWS\SYSTEM\EICLBA.DLL
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O18 - Filter: text/html - {967898A1-836D-11D9-BB30-00303B70FA98} - C:\WINDOWS\SYSTEM\EICLBA.DLL
O18 - Filter: text/plain - {967898A1-836D-11D9-BB30-00303B70FA98} - C:\WINDOWS\SYSTEM\EICLBA.DLL

Anschließend lösche ich die Dateien C:\WINDOWS\TEMP\SE.DLL und C:\WINDOWS\SYSTEM\EICLBA.DLL (diese heißt jedes Mal anders) ebenfalls im abgesicherten Modus und entferne noch folgende Einträge aus der Registry:
HKLM-Software-Microsoft-Internet Explorer- Main – Search Bar
HKLM-Software-Microsoft-Internet Explorer- Main – Search Page
HKLM-Software-Microsoft-Internet Explorer- Main – Home Old SP
sowie
HKCU-Software-Microsoft-Internet Explorer- Main – Search Bar
HKCU-Software-Microsoft-Internet Explorer- Main – Search Page
HKCU-Software-Microsoft-Internet Explorer- Main – Home Old SP

und gebe bei StartPage meine gewünschte Startseite ein. Wie gesagt, das funktioniert für eine gewisse Zeit, aber dann ist das Problem wieder da. Kann mir jemand sagen, was ich noch tun muß?

Hier mal mein letzter HijackThis-Log:

Logfile of HijackThis v1.99.0
Scan saved at 18:42:56, on 20.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS_199\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O2 - BHO: (no name) - {967898A2-836D-11D9-BB30-0030CBA264EF} - C:\WINDOWS\SYSTEM\EICLBA.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab
O18 - Filter: text/html - {967898A1-836D-11D9-BB30-00303B70FA98} - C:\WINDOWS\SYSTEM\EICLBA.DLL
O18 - Filter: text/plain - {967898A1-836D-11D9-BB30-00303B70FA98} - C:\WINDOWS\SYSTEM\EICLBA.DLL

CW Shredder, Ad-Aware und SpybotSD haben leider nichts geholfen.
Ich bin wirklich für jede Hilfe dankbar.

dartus 20.02.2005 22:11
Hi,

führe die Schritte nochmals durch.
Nach dem Löschen der Dateien leere anschliessend sofort den Papierkorb.

dartus

Vilstaler 20.02.2005 22:31
Hallo dartus, ich habe gleich nach dem Fixen und Löschen der beiden DLL-Dateien ClearProg laufen lassen, damit sollte der Papierkorb eigentlich sofort geleert worden sein. Es muß aber wohl leider noch an was anderem liegen, da in der Zwischenzeit erneut die "about:blank Search for"-Seite aufgetaucht ist, der jetzige HijackThis-Log sieht für mich als Laien zwar einigermaßen gut aus, aber ich denke, daß dies nicht von langer Dauer sein wird, da ich ja lediglich unter Internetoptionen die Startseite wieder geändert, sonst aber nichts mehr unternommen habe. Hier mal mein aktueller Log:

Logfile of HijackThis v1.99.0
Scan saved at 22:29:01, on 20.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\EIGENE DATEIEN 2\CFOS TREIBER\CFOSDW.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE
C:\EIGENE DATEIEN 2\T- DSL\T- DSL SPEED MANAGER\SPEEDMGR.EXE
C:\PROGRAMME\SCANNER CANON N670U\EREG\REMIND32.EXE
C:\EIGENE DATEIEN 2\T-EUMEX 504 PC SE\ANWENDERSOFTWARE UPDATE\CAPICTRL.EXE
C:\PROGRAMME\ANALOG DEVICES\TELEDAT 300 USB TREIBER\DSLMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\HIJACK THIS\HIJACKTHIS_199\HIJACKTHIS.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von CompuServe
F1 - win.ini: run=C:\EIGENE~2\CFOSTR~1\CFOSDW.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Tastatur\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Eigene Dateien 2\Funkmaus-Tastatur Software\Setup Maus\MOUSE32A.EXE
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\EIGENE DATEIEN 2\ANTIVIRENPROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [AKiller] "C:\EIGENE DATEIEN 2\AKILLER\ADVERTISING KILLER\AKILLER.EXE"
O4 - HKCU\..\Run: [cFos - Tip of the Day] C:\Eigene Dateien 2\cFos Treiber\SETUP.EXE -tipoftheday 0 -type16
O4 - HKCU\..\Run: [SpyKiller] C:\Eigene Dateien 2\Antivirenprogramme\SpyKiller2004\SpyKiller\spykiller.exe /startup
O4 - Startup: Speedmgr.lnk = C:\Eigene Dateien 2\T- DSL\T- DSL Speed Manager\SPEEDMGR.EXE
O4 - Startup: reminder-ScanSoft Produkt Registrierung.lnk = C:\Programme\Scanner Canon N670U\EREG\REMIND32.EXE
O4 - Startup: CAPI Control.lnk = C:\Eigene Dateien 2\T-Eumex 504 PC SE\Anwendersoftware Update\Capictrl.exe
O4 - Startup: DSLMON.lnk = C:\Programme\Analog Devices\Teledat 300 USB Treiber\DSLMON.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/stat...dropupload.cab

Aber wie gesagt, das Glück wird wohl nur von kurzer Dauer sein, da es gestern genauso ausgesehen hat. Trotzdem vielen Dank für deine Hilfe, über weitere Ratschläge wäre ich wirklich froh.

Lutz 20.02.2005 22:35
Moin Vilstaler,
Dein Log sieht in der Tat im Moment gut aus.

Mach mal zur Kontrolle einen Scan mit eScan (siehe Signatur - bitte genau an die Anleitung halten!) und poste anschließend, was gefunden wurde.
Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Vielleicht wissen wir dann mehr.

Vilstaler 21.02.2005 19:35
Hallo Lutz,

zuerst einmal vielen Dank für deine Antwort, aber ich bringe eScan einfach nicht zum laufen. Ich habe schon den Ratschlag von Cidre aus einem anderen Beitrag befolgt und folgendes durchgeführt
"Lösche unter C: die Ordner Downloads und bases. Danach führst du dies nochmal aus ->
Zitat:
Arbeitsplatz - C - Neuer Ordner: Bases - Rechtsklick mvav - entpacken - c:\bases - KAVupd - mvavscan
Sollte sich eScan AntiVirus wieder nicht starten lassen, dann einen Doppelklick auf die mwav.exe (wird temporär entpackt) und scanne dein System."
aber irgendwie bewegt sich bei mir in beiden Fällen nichts. Hat jemand eine Erklärung, warum eScan bei mir nicht funktioniert???
Der Störenfried war heute natürlich wie erwartet wieder da, ich habe die C:\Windows\Temp\SE.DLL jetzt mal mit HijackThis über die Optionen Misc Tools Section und Delete a File on Reebot gelöscht und dann erst die mir falsch erscheinenden Einträge gefixt, irgendwie fehlt mir jedoch die Hoffnung, daß das mein Problem jetzt endgültig beheben kann. Ich bin also für weitere Tipps dankbar.


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131