Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   "about:blank" etc. probleme (https://www.trojaner-board.de/28838-about-blank-etc-probleme.html)

munsi 27.04.2006 23:37
"about:blank" etc. probleme
 
im IE ist die startseite immer mit about:blank belegt (www.securitybulletin.net ist die seite), kann dies net ändern auch treten unregelmäßig verschiedene popups auf die besagen das mein pc mit spyware usw. befallen wäre auch haben sich diverse links von sogenannten Spywareentfernern im Startmenü eingebunden ( zb. Online Security Guide )

AVG Antivirus und ad-aware haben nicht viel geholfen.

ich poste ma den HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:17, on 27.04.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
E:\AVGFRE~1\avgamsvr.exe
E:\AVGFRE~1\avgupsvc.exe
E:\AVGFRE~1\avgemc.exe
e:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
E:\AVGFRE~1\avgcc.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
E:\Outpost Firewall\outpost.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.avm.de/FRITZBox_Fon_WLAN/service
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAACA.tmp
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [AVG7_CC] E:\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Outpost Firewall] "E:\Outpost Firewall\outpost.exe" /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] E:\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: hamachi.lnk = D:\Hamachi\hamachi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: E:\OUTPOS~1\wl_hook.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - E:\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - e:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - E:\Outpost Firewall\outpost.exe

Ich hoffe ihr könnt mir helfen.

cosinus 27.04.2006 23:53
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Igitt, Dein WindowsXP ist ja völlig nackt! Nichtmal SP1 ist drauf! :eek:
Der IE auf XP-Grundbasis, das kann einfach nicht gut gehen, wenn man auch noch mit diesem surfen sollte:balla:
Zitat:
C:\WINDOWS\System32\dcomcfg.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\hpAACA.tmp
D:\Hamachi\hamachi.exe
Diese Dateien bitte bei Jotti oder Virustotal auswerten lassen und Ergebnisse posten. Die Links dazu findest Du unten in meiner Signatur.

MightyMarc 27.04.2006 23:57
Zitat:
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Was hat Dich davon abgehalten das Service Pack 2 und alle nachfolgenden Patches zu installieren?

Zitat:
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAACA.tmp
Fixen und die Datei löschen.

Edit::daumenhoc cosinus

Hab ich glatt die Prozessliste übersehen...ich sollte ins Bett gehen...:sleepy:

munsi 28.04.2006 00:15
hi cosinus hab ma die Dateien ausgewertet

1. C:\WINDOWS\System32\dcomcfg.exe :

Datei: dcomcfg.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Heur.Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Generic.Malware.Ssp.2F518A03 gefunden (mögliche Variante)
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Sandbox: W32/Malware; [ General information ]

* Accesses executable file from resource section.
* File length: 16292 bytes.

[ Changes to filesystem ]
* Deletes file .
* Creates file C:\WINDOWS\SYSTEM32\hp9080.tmp.
* Creates file C:\WINDOWS\SYSTEM32\stdole3.tlb.
* Deletes file C:\WINDOWS\SYSTEM32\interf.tlb.
* Creates file C:\WINDOWS\SYSTEM32\simpole.tlb.

[ Changes to registry ]
* Creates key "HKCR\CLSID\{09EA0C-".
* Sets value "default"="Nothing" in key "HKCR\CLSID\{09EA0C-".
* Creates key "HKCR\CLSID\{09EA0C-\InprocServer32".
* Sets value "default"="C:\WINDOWS\SYSTEM32\hp9080.tmp" in key "HKCR\CLSID\{09EA0C-\InprocServer32".
* Sets value "ThreadingModel"="Apartment" in key "HKCR\CLSID\{09EA0C-\InprocServer32".
* Creates key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b0398eca-0bcd-4645-8261-5e9dc70248d0}".
* Sets value ""="" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b0398eca-0bcd-4645-8261-5e9dc70248d0}".
* Creates value "dcomcfg.exe"="dcomcfg.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called hpmInsuranceEventEx.
* Creates a mutex stdole3.tlb.
* Creates a mutex 0ac4f69b-6c3f-40f8-944f-979162a1f5eb.
* Creates an event called eb9ba1e0-de84-4017-b056-4cabab02e7a4.
* Will automatically restart after boot (I'll be back...). gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

2. C:\WINDOWS\System32\atmclk.exe

Datei: atmclk.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: PE_PATCH, UPACK

AntiVir Keine Viren gefunden
ArcaVir Heur.Win32 gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden

3. C:\WINDOWS\System32\hpAACA.tmp kein virus bei allen
4. D:\Hamamchi\hamamchi.exe gabs nur den Eintrag :Fortinet 2.71.0.0 04.27.2006 suspicious

edit: @ mightymarc was meinst du mit:

Zitat:
O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\System32\hpAACA.tmp



Fixen und die Datei löschen.

was soll ich löschen und was fixen ?

cosinus 28.04.2006 00:29
Das Ergebnis der Virenscanner würde bei mir ein Magengeschwür verursachen. Auch wenn ein Fehlalarm bei zumindest einer Datei nicht ausgeschlossen werden kann, würde ich an Deiner Stelle

1. Diese drei Dateien in ein mit einem passwortgeschütztem Archiv packen und an newvirus@kaspersky.com senden. Das Passwort in den Body der Mail reinschreiben und das Archiv per Anhang senden.
2. Da es völlig unbekannt ist, was diese Schädlinge wirklich anstellen, ist ein Neuaufsetzen naheliegend und imho erforderlich.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:35 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131