Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   64.192.130.141 bzw. www.ad-w-a-r-e.com/ (https://www.trojaner-board.de/23423-64-192-130-141-bzw-www-ad-w-a-r-e-com.html)

Ralf M. 08.11.2005 00:34
64.192.130.141 bzw. www.ad-w-a-r-e.com/
 
64.192.130.141 bzw. www.ad-w-a-r-e.com/
nerft. was tun? kann jemand helfen?

Logfile of HijackThis v1.99.1
Scan saved at 00:16 Uhr , on 08.11.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\WSYS.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\LOGITECH\MOUSEWARE\SYSTEM\EM_EXEC.EXE
D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE
D:\RETTUNGSORTNER\DOWNLOADS\UHR\TCLOCK.EXE
C:\PROGRAMME\ONLINECOUNTER 2002\ONLINECOUNTER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\MOZILLA-1.8A6.DE-AT.WIN32\MOZILLA.EXE
C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HIJACKTHIS V1.99.1.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.google.de/
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\LOGITECH\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Kill Window] "D:\RETTUNGSORTNER\KILL WINDOW 2.0\KILL WINDOW 2.0.exe"
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\PROGRAMME\TUNEUP UTILITIES 2006\MEMOPTIMIZER.EXE" autostart
O4 - HKCU\..\Run: [HijackThis startup scan] C:\00\! ASIA-1\07.11.2005\NEUER ORDNER (7)\HijackThis.exe /startupscan
O4 - Startup: TClock.lnk = D:\Rettungsortner\Downloads\Uhr\TClock.exe
O4 - Startup: Logox Taskleisten Icon.lnk = C:\WINDOWS\Logox\LgxTNA.exe
O4 - Startup: E-Color.lnk = C:\Programme\E-Color\Common\IconMgr.exe
O4 - Startup: OnlineCounter 2002-Autostart.lnk = C:\Programme\OnlineCounter 2002\OnlineCounter-Autostart.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\PROGRAMME\ONLINECOUNTER 2002\OCHangUp.exe (HKCU)
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab

was muß ich der reihe nach machen um das nerfige-teil los zu werden? help?

dartus 08.11.2005 01:08
Hallo Ralf M.

downloade Ewido . Installieren und updaten.

Wechsel in den abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html und fixe folgende Einträge (Scan mit HJT und Häckchen vor Eintrag):

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://goggle.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [MSRESEARCH] C:\WINDOWS\MSRESEARCH.exe
O4 - HKLM\..\RunServices: [windll] C:\WINDOWS\SYSTEM\wsys.exe

Lösche manuell:
C:\WINDOWS\MSRESEARCH.exe
C:\WINDOWS\SYSTEM\wsys.exe

Scanne nacheinander mit Ewido und Norton. Lösche alle Funde.

Neues Logfile und berichten

dartus

Wildone 08.11.2005 01:28
Hallo,
und dieses mal vorallem ein komplettes Logfile posten, besonders der O20 Eintrag sollte interessant sein ;)



Grüße Wildone

dartus 08.11.2005 09:34
Hallo Wildone,

beachte bitte das System, es ist Win98. Da kommt nicht mehr.
Schauen wir mal, ob es langt.

dartus

Wildone 08.11.2005 11:29
Hallo,
ups, das kommt davon wenn man die Kopfzeile überliest. Würde mich aber trotzdem interessierren ob das ein Ableger von look2me ist, oder andere Adware, die die selben Server verwendet.
@Ralf M.
Kannst du, wenn du Ewido drüberlaufen läßt, danach mal das Log posten (bereinigt von den Cookiesmeldungen).


Grüße Wildone

raman 08.11.2005 17:33
Ja, das ist look2me, nur kannst du ihn da in einem Hijackthis log unter Win9X gar nicht sehen. Aber man hat den Vorteil, die Dateien im Dosmodus loeschen zu koennen.

Achso, ewido funktioniert nicht unter Win9x!

Wildone 08.11.2005 17:49
Hallo,
weißt du zufällig auch ob l2mfix mit Win98 kompatibel ist? Bzw. wie es mit der Entfernung per Spysweeper aussieht?


Grüße Wildone

raman 08.11.2005 18:02
Nein, das funktioniert nicht unter Win98. Bei Spysweeper habe ich es noch nicht probiert, sollte aber funktionieren....

Wildone 08.11.2005 18:13
Hallo,
@raman
na dann sollten wir es doch mal mit Spysweeper versuchen, danke für deine Hinweise.
@Ralf M.
Führe mal folgendes durch. Da danach häufig noch infizierte Dateien zurück bleiben, solltest du danach noch mal mit Escan (Anleitung sorgfältig lesen!) dein System untersuchen und das Log wie in der Anleitung beschrieben posten.


Grüße Wildone

dartus 08.11.2005 22:36
War wohl doch zu spät gestern, da meine Empfehlung Ewido war. :D

dartus


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131