|
Warum will mein PC immer nach Russland? :confused: IP: 81.211.105.70? Seitdem ich die Adresse über meine Firewall geblockt habe ist Ruhe mit der Startseite - kann aber auch Zufall sein! Kann jemand von Euch Russisch? Über Whois bekommt Ihr sogar eine Telefonnummer geliefert! Grüße von RON2 |
@Ron: Die Datei ist unterwegs zu dir Ich habe auch mal den Rat mit Ad-Aware befolgt, hat zwar was gefunden und entfernt, aber danach kommt die Seite wieder. Gruß Klaus |
Hallo Klaus, poste mal bitte ein Log von HiJack-This. Ohne geht leider bei solchen Problemen nicht viel... Hast Du den CWShredder schon einmal im abgesicherten Modus laufen lassen? Gruß, Lutz |
OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen. Ich hab jetzt folgendes gemacht: -Hijack-this und CWShredder runtergeladen und auf neueste Version gebracht -CWShredder durchlaufen lassen und die einzige Meldung ASX3TEST.exe löschen lassen -Hijack-this durchgeführt -CWShredder im abgesicherten Modus ausgeführt (keine Meldung) -Beim Neustart hat die Firewall gemeldet, daß die rundll32.exe eine Verbindung möchte, habe ich gesperrt Hier noch das Hijack-log: Logfile of HijackThis v1.97.7 Scan saved at 11:29:50, on 24.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\Programme\ZipGenius 5\zipgenius.exe C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ZipGenius\ZGTemp\9990421\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Parse with LeechGet - file://C:\Programme\LeechGet 2002\\parser.html O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download using &LeechGet - file://C:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Download using LeechGet &Wizard - file://C:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O15 - Trusted Zone: http://www.conrad.de O15 - Trusted Zone: http://www.dialego.de O15 - Trusted Zone: http://www.ils.de O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://de.trendmicro-europe.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4681828704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{57C48957-4B08-4883-A4CD-E4E331394BF6}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B73A6F4A-4252-4959-8363-A510CE4B3993}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D425AC-0A01-412F-95C2-5109B201A1AC}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{D21A62A5-5F44-402D-8FB6-38EC80065F97}: NameServer = 212.185.253.9 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 |
</font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE]Zumindest diese Einträge fixen. |
Hallo Leute, bin neu hier! Habe das gleiche Problem und würde gerne wissen wo ihr diese start.html findet. Die start.chm habe ich immer unter system, die start.html kann ich auf meinem PC trotz allen Suchens, auch mit Start -> Suchen nicht finden. Danke im Vorraus |
Hallo, </font><blockquote>Zitat:</font><hr />OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen.</font>[/QUOTE]Überhaupt kein Problem! [img]smile.gif[/img] Bitte folgendes mit HiJackThis im abgesicherten Modus fixen: </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html . . . O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m . . . O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe </font>[/QUOTE]Setzt Du Lotus Notes ein? Ansonsten könnte diese Datei verdächtig sein.. Die Einträge zu O15 und O17 solltest Du einmal selbst überprüfen, ob das von Dir gewollte Einträge sind. Die Dateien C:\WINDOWS\start.chm c:\programme\Webdialer\od-teen175.exe c:\programme\Webdialer\od-teen108.exe C:\bla.MHT bitte anschließend löschen. Gruß, Lutz |
erledigt bis dahin: Ja ich benutze Lotus (Damals...) mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese? Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen? Achja, mein PC wollte auch zur obengenannten IP, habe ich durch meine Firewall verboten, seitdem ist kein Popup mehr da. Keine Ahnung ob das die wirkliche Ursache ist. Auf jeden Fall schon mal ein Dankeschön! Ich muß sagen, ich bin seit Mitte der 90er im Netz und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv? Gruß Klaus |
Hallo Klaus, </font><blockquote>Zitat:</font><hr />Ja ich benutze Lotus (Damals...)</font>[/QUOTE]Dann sollte der Eintrag OK sein. </font><blockquote>Zitat:</font><hr />mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese?</font>[/QUOTE]Schau mal bitte hier nach: http://www.trojaner-board.de/51130-a...ijackthis.html Der (mehrfache) Eintrag 216.127.92.38 gehört laut Who is-Abfrage zu: </font><blockquote>Zitat:</font><hr /> OrgName: Everyones Internet, Inc. OrgID: EVRY Address: 2600 Southwest Freeway Address: Suite 500 City: Houston StateProv: TX PostalCode: 77098 Country: US </font>[/QUOTE]Evtl. ein Webhoster?!? </font><blockquote>Zitat:</font><hr />212.185.253.9</font>[/QUOTE]Gehört zu 'Deutsche Telekom AG'. Wenn Du t-online-Kunde bist, ist der Eintrag wohl ok. </font><blockquote>Zitat:</font><hr />192.168.120.252,192.168.120.253</font>[/QUOTE]Hast Du ein lokales Netzwerk (LAN) eingerichtet? Imho ist der Adressbereich 192.168.*.* für lokale Netze vorbehalten... </font><blockquote>Zitat:</font><hr />Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen?</font>[/QUOTE]Nun, im abgesicherten Modus startet Windows nur mit den Prozessen, die es selbst zum 'Überleben' braucht. Bei einem 'normalen' Bootvorgang werden alle Autostartaufrufe aus der Registry mitgestartet (z. B. Prozesse, die HiJackThis unter O4 anzeigt). Wenn jetzt beispielsweise ein Malware-Prozess mitgestartet wird, lässt er sich in der Regel nicht beenden und somit auch nicht löschen. </font><blockquote>Zitat:</font><hr />...und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv?</font>[/QUOTE]Sagen wir so, es wird zumindest immer schlimmer. Und das auch immer schneller. Viele sprechen schon jetzt von 2004 als dem Malware-Jahr. Das Browser-HiJacking (Entführung auf unerwünschte Webseiten) gibt es imho seit rd. einem Jahr. Hier zeigen sich die 'Macher' scheinbar besonders aktiv und einfallsreich. Die bestehenden und bekannten Sicherheitslücken des InternetExplorers scheinen sich hierfür geradezu anzubieten... Deswegen wirst Du auch immer öfter den Tipp lesen, auf einen (zumindest zur Zeit noch) sichereren Browser umzusteigen. Gruß, Lutz |
Hallo zusammen Vorweg bin neu hier im Board hab das Problem auf einem PC hier auch. Allerdings ist mir eine Sache aufgefallen die hier bisher nicht aufgetaucht ist : Die Datei start.html die ja einige kennen lies sich bei mir erstmal nicht öffnen bzw löschen/kopieren da auf sie zugegriffen wurde... Also schau ich im taskmngr mal nach was wir so alles haben dabei finde ich diesen : "access[2].exe" erstmal beendet danach lies sich die start.html problemlos löschen/editiern. hab mich dann erstmal gefragt was das denn nu fürne exe ist. habs bis jetzt nicht rausfinden können später lief noch einmal eine "access[1].exe" konnte auf dem pc weder access.exe noch access[2].exe finden Evtl kennt das ja jemand (Das Programm "Access" ist nicht installiert) Thomas |
@KlausPeter: </font><blockquote>Zitat:</font><hr />@Ron: Die Datei ist unterwegs zu dir </font>[/QUOTE]... is wohl ne lange Leitung [img]graemlins/lach.gif[/img] - is bis jetzt noch nicht angekommen. Die Adresse lautet ron2@ron.at Grüße von RON2 |
hi ich hatte auch das Problem mit der Startseite. Hab den Inhalt auch gelöscht und es geht alles OK. Hab die Datei start.chm noch auf Diskette (falls es mal ein ordentliches Removal-Tool gibt). Ich habe das Removal-Tool von Master-search nicht mal gesehen und dann wohl auch nicht benutzt...und trotzdem ist heute als mein Rechner im I-net war und ich kein Fenster offen hatte der IE angegangen und hat diese Seite http://www.master-search.com/top/date/?cid= mit einer Dating Werbung angezeigt. Woher kann das jetzt kommen?? |
Die oben angeführten access Dateien gehören zu der Malware. Die werden bei mir im Zonealarm auch immer angezeigt. Sofort in der Firewall blocken. Leider nützt das nicht lange, auch das löschen der Datei nichts, da sie immer wieder neu genriert wird! |
Es gibt hier keine "Access-Dateien". Das Programm MicrosoftAccess wird durch die Programmdatei MSACCESS.exe gestartet. |
Access.exe ist mit Sicherheit ein Dialer. Sollte von AntiVir beseitigt werden können. Auch bei Spybot sollte der Dialer mit dem nächsten Update erkannt werden. ;) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:50 Uhr. |
Copyright ©2000-2025, Trojaner-Board