Trojaner-Board - irgendwas ist faul,

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - irgendwas ist faul, (https://www.trojaner-board.de/21472-irgendwas-faul.html)

irgendwas ist faul,

ich weiss nur nicht was ! Der Hijackthis Report scheint i.O. zu sein:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:51, on 03.09.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\WEBDE\SMARTSURFER3.0\SMARTSURFER.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**l://www.web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\Programme\FreshDevices\FreshDownload\fdcatch.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiKey] Atitask.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE

Trotzdem ist mein System teilweise sehr langsam, ab und an werde mit "yr computer might be at risk" daraufhingewiesen das sich zumindest Werbeverarsche eingeschlichen hat. Smartsurfer oeffnet sich ab und an auch von selbst - da will was online !

Die Programme Hoster, RegSeeker und FreshUI werden alle 3 beim Aufmachen aufgrund eines ungueltigen Vorgangs wieder geschlossen.

Seit heute wird beim Hochfahren gemeldet dass die Windowsgeraetedatei entweder absichtlich oder unabsichtlich geloescht wurde und entweder ordendlich entfernt oder neu aufgespielt werden soll. Ist wahrscheinlich ne' separate Baustelle durch meine Rumspielerei aber bin auch hier fuer einen Tip dankbar.

Habe win98se. Antivir, e-scan, spyboot und ad-aware finden nix entsprechendes. Zuletzt Spyfinder.a durch Spyboot gefunden und angeblich eliminiert.

Bin gespannt. Schoenes Wochenende
Gruss
bandog

Hallo, aeh, sorry muss unten heissen findspy.a, nicht spyfinder.a

Dann habe ich gerade gesehen das es zu meinem Problem schon einen Thread gibt

http://www.trojaner-board.de/showthr...ight=findspy.a

Allerdings hat es auf beide Postings 1x im Mai und dann im Juli keine Antwort gegeben.
Ist ja komisch das Spybot den Trojaner schon so lange erkennt, aber noch nicht beseitigen kann. Ganz zu schweigen von AntiVir und E-scan.
Gruss
bandog

Nächstes mal bitte Links im Log auf H**P://www.blabla.de editieren sonst klickt wer drauf und hat sich was eingefangen :) ( ist aber auch ne art stammkunden zu bekommen XD )

Hi, den muss ich uebersehen haben. Aber gefunden hast du auch nichts komisches, oder ?
Sonst irgendwelche Ideen zu dem findspy.a ?
Gruss
bandog

Ja ok das Log ist sauber. Das heißt allerdings nicht das dass System nun auch sauber ist.
Also führe eScan aus.

Hi Chris, danke fuer Deine Antwort. E-scan up-date ich bei jeder I-net session, der findet nichts. Das System ist def. NICHT sauber.

Mir ist noch was eingefallen. Entweder mit Spybot oder mit Ad-aware habe ich kuerzlich "Wareout" entfernt. Koennte sein, dass da noch etwas (oder auch "etwas mehr") uebriggeblieben ist.

Die Geschichte mit den Programmen (Regseeker, freshdownload, hoster) die beim aufrufen die Windowsmeldung "Abbruch durch ungueltigen Vorgang" hervorrufen, hatte ich im Eingangsposting schon erwaehnt. Komisch ist das man mit diesen Programmen trotzdem ganz normal arbeiten kann, solange man diese Meldung nicht wegdrueckt oder mit OK bestaetigt. Kann das auch mit Spyware/Trojaner zusammenhaengen ?

Gruss
bandog

Hallo, gross ist die Resonanz auf meinen Thread ja gerade nicht. Ich habe mich natuerlich selber umgeschaut und bin mir jetzt ziemlich sicher, dass - wie gestern schon vermutet das Problem mit Wareout zusammenhaengt. Dazu gibt es ja diverses in den verschiedenen Foren.

Mich wundert jetzt aber sehr, dass E-scan nichts mehr findet und ich habe mir verschiedene Beschreibungen angesehen - hier bei Tj-board aber auch woanders. Das klingt alles sehr kompliziert wie mwav.exe unter C:bases eingeben undsoweiter; Ich up-date mein e-scan indem ich unter "sonstiges" den up-date anklicke. Nachdem der download im Dos-Fenster durch ist schliesst sich dieses und ich klicke wieder unter "sonstiges", mache alle Haekchen und der Scan laeuft normal durch.
Kann es sein dass ich dabei etwas falsch mache und so die up-dates dem Scan nicht zur Verfuegung stehen ???
Danke vorab.
Gruss
bandog

Halte dich beim eScan einfach an die Anleitung, dann bekommst du
a) bessere Ergebnisse
b) weitere Antworten.

Gruß :daumenhoc
Yopie

das ist mir neu...

allerdings nur, wenn escan beim richtigen ausführen wieder nix findet;

wie wird der trojaner/wurm/virus bitte geladen? es gibt ja 5 möglichkeiten:
1.startmenü-autostart (wäre aufgeführt, wenn eintrag vorhanden)
2.registrierungseintrag run, runservices in HKLM und HKCU (wäre aufgeführt, wenn eintrag vorhanden)
3.winlogon notify (wäre aufgeführt, wenn eintrag vorhanden)
4.als treiber (nicht aufgeführt!)
5.systemdatei ersetzt, mitladung (nicht aufgeführt!)
ich vermute, da escan den nicht erkannt hat hast du es hier mit einem neueren trojaner zutun der noch nicht erkannt wird.
es wird zeit das wir heraus finden, welche dateien ersetzt wurden..
klicke auf start -> ausführen -> sfc eingeben
Einstellungen
Geänderte Dateien suchen (selektieren)
Gelöschte Dateien suchen (selektieren)
OK -> Starten
Jetzt poste die dateinamen die verändert wurden.

Hallo Chris, werde ich heute abend so machen. Heisst das aus Deiner Sicht und nach meiner Beschreibung habe ich e-scan richtig ausgefuehrt ?
Nur zur Klarstellung: Ich habe E-scan als Programm schon einige Zeit drauf und nach der Installation ist ja auch einiges gefunden worden. Ich hatte auch gesehen, das am Programm und der Anwendung Aenderungen/Vereinfachungen vorgenommen wurden. Und die Beschreibungen hier sind ja auch schon ein paar Tage aelter.

@Yopie, meine Frage bezieht sich daher nur auf die Up-dates und ob da etwas schief gehen kann. Ich habe mir Cidres Anleitung noch mal durchgelesen und kriege da keine klare Antwort. Daher meine Frage und ich denke dass Du Dir nichts vergibts, mir darauf Deine Meinung zu meiner Vorgehensweise mitzuteilen, statt Selbstverstaendlichkeiten zu posten, die im Moment nicht weiterhelfen. Will heissen ich kann lesen und tue das auch ! Das heisst aber nicht zwangslaeufig, dass ich das gelesene auch - richtig - verstanden habe, gelle ?
Gruss
bandog

Bei den Updates kann eigentlich nichts schiefgehen. Der Vorteil der Anleitung ist, dass du ein angepasstes Protokoll der Funde ins Forum posten kannst, und daraufhin massgeschneiderte Tips bekommst.

Scannst du im abgesicherten Modus?

Kein AV-Scanner erkennt alles, auch eScan nicht.

Gruß :daumenhoc
Yopie

thks yopie,
- gut zu hoeren; bei evtl. funden werd' ich dass dann nochmal lesen.
- nein, soll/muss ich bei win98se ?
- is' schon klar !
gruss
bandog

Zitat:

Zitat von bandog

- nein, soll/muss ich bei win98se ?

Besser is das. Deswegen steht es ja auch, halt dich fest, in der Anleitung. ;)

Gruß :daumenhoc
Yopie

Hi, habe jetzt Gelegenheit gehabt weiterzumachen.
Yopie, das ist z.B. so eine Sache wo ich mir unsicher war; das hab ich mit der Systemwiederherstellung in einen Topf geschmissen, die es ja bei win98se nicht gibt. Und da es keine - fuer mich ersichtlichen - Unterschiede im Ergebnis gab, egal ob ich im Normal- oder sicheren Modus e-scan ausgefuehrt habe, hatte ich es dann zuletzt nur im normalen Modus ausgefuehrt.

Ich habe jetzt noch einmal, Anti-vir, spybot, ad-aware und e-scan upgedated und jeweils den Scan im sicheren Modus durchlaufen lassen, kein Programm hat etwas gefunden.
Nach wie vor gehen ab und an die netten Fenster auf (yr comp. might be at risk, windows sec. center, balloon, etc) und smartsurfer oeffnet sich auch immer wieder allein (obwohl angeklickt ist, "nicht automatisch oeffnen").
Dazu ist das System nach wie vor sehr langsam.

Chris, sfc hat ergeben das angeblich Notepad defect ist und es wurde vorgeschlagen die Systemdiskette einzulegen. Habe ich aber zunaechst mal mit ignorieren uebersprungen, da Notepad ohne Probleme laeuft.

Ich koennte jetzt natuerlich abwarten was weiter passiert und ob demnaechst ein up-date der Schutzprogramme einen Fehler findet. Die Chancen stehen gut, denn ich lese immer haeufiger von den genannten Symptomen.

Ich habe auch die Moeglichkeit ein 2 Monate altes Image neu aufzuspielen, und dann zu up-daten.

Hat noch jemand eine Idee was ich jetzt tun koennte ?
schoenes Wochenende
bandog

ok dann wirds zeit für silentrunners.vbs
führe silentrunners aus.
dann poste den inhalt der datei (dessen namen er am ende anzeigt) hier.