Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Auch ein Problem mit #96676 (https://www.trojaner-board.de/6016-problem-96676-a.html)

sniper1082 17.06.2004 12:29
Hallo,

könnt ihr mir bitte helfen!

Ich habe auch diese komischen Startseiten-Sache auf meinem Rechner.

Hier meine Logdatei:

Logfile of HijackThis v1.97.7
Scan saved at 13:22:20, on 17.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\ORL\VNC\WINVNC.EXE
C:\WINDOWS\NTAB.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MFCRO.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {35BA9597-A545-9F72-A195-B277AD30601D} - C:\WINDOWS\SDKKK.DLL
O2 - BHO: (no name) - {15F4AA79-6452-7B4B-7AA3-173995DD541C} - C:\WINDOWS\SDKKK.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [MFCRO.EXE] C:\WINDOWS\SYSTEM\MFCRO.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [WinVNC] "C:\PROGRAMME\ORL\VNC\WINVNC.EXE" -service
O4 - HKLM\..\RunServices: [NTAB.EXE] C:\WINDOWS\NTAB.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab

Ich danke euch rechtherzlich!

Schöne Grüße
sniper1082

nitro 17.06.2004 12:32
verdammt guck in die ganzen anderen posts bitte nicht jeder einen aufmachen das bringt auch nichts ! ich habe die logs verglichen es gibt keine gemeinsamkeiten wo man sagen kann "Das hier ist die Ursache" deswegen bringen uns die logs auch nicht weiter. es wird wahrscheinlich eine sicherheitslücke sein. nicht böse sein aber guck in die anderen threads...

-> close

neptune 17.06.2004 12:42
hallo sniper.. als erstes mal musst du windows update ausführen um alle möglichen sicherheitslücken zu schliessen..

dann fixt du alle r0 und r1 einträge mit hijackthislog.. danach startest du den pc im abgesicherten modus und löscht C:\WINDOWS\occtj.dll/sp.html#96676..

neptune

sniper1082 17.06.2004 12:49
</font><blockquote>Zitat:</font><hr />Original erstellt von nitro:
verdammt guck in die ganzen anderen posts bitte nicht jeder einen aufmachen das bringt auch nichts ! ich habe die logs verglichen es gibt keine gemeinsamkeiten wo man sagen kann "Das hier ist die Ursache" deswegen bringen uns die logs auch nicht weiter. es wird wahrscheinlich eine sicherheitslücke sein. nicht böse sein aber guck in die anderen threads...

-&gt; close </font>[/QUOTE]OK, tut mir leid! :(

@neptune: Danke, ich werde es ausprobieren!

nitro 17.06.2004 12:51
ohhh... naja ok war bissi hard ^^
ähmm... probieren brauchste das aber nicht es funzt zwar aber nachm neustart haste es wieder.

cYa nitro

Nangie 17.06.2004 12:52
Original von nitro
</font><blockquote>Zitat:</font><hr /> verdammt guck in die ganzen anderen posts </font>[/QUOTE]Du sollst nicht fluchen - oder schnupperst du gerade deinem Glyzerin ? :D


EDIT for Sniper :

HijackThis Anleitung

Browser Hijacking Entfernung

[ 17. Juni 2004, 13:57: Beitrag editiert von: Nangie ]

sniper1082 17.06.2004 13:28
Mmmhhhh, ich hab jetzt alles so gemacht und schon 3 mal Neustart.
Bis jetzt ist alles entfernt!

Hoffentlich bleibt es so!!!

nitro 17.06.2004 13:31
kann net sein... meld dich bitte wenns wieder da ist oder so

sniper1082 17.06.2004 13:40
Bin schon wieder da!

Hat leider nicht geklappt! [img]graemlins/balla.gif[/img]

Kann doch gar nicht sein, dass so viele Leute dieses Problem haben, und von Microsoft oder anderen gibt´s noch kein Update, oder?

design-willy 17.06.2004 13:54
Ich habe es ja bereits erwähnt,
der Typ aus New York "rrlover" hat am 16.06 um knapp 09.00 Uhr die Info gegeben, dass sein Rechner clean ist. Seit dem kein post mehr von ihm in diesem USA Forum
http://www.dslreports.com/forum/rema...8952~mode=flat
Leider kann ich die software trojan cleaner, die er benutzt hat, nicht finden [img]graemlins/headbang.gif[/img]

sniper1082 17.06.2004 14:00
Ist es vielleicht das hier?

http://www.computer-software.org/uti...antitrojan.asp

Olo 17.06.2004 14:40
@ willy
poste doch mal in dem forum und frag nach [img]smile.gif[/img]
da wird das wohl jemand wisssen hoff ich jedenfalls


@ alle anderen die das problem auch haben
afaik gibt es im moment noch kein removal tool dafuer
selbst wenn es das gäbe wär das gesamte nur temporär da M$ die sicherheitslücken im IE die browserhijacker benutzen nicht fixt
es wäre also nur eine frage der zeit bis man wieder einen hijacker auf dem pc hat
bitte lest doch mal Lutz' artikel
der hat das ganze schön ausführlich beschrieben
und wechselt den browser!

design-willy 17.06.2004 14:55
@Olo
Danke für den Tipp.
Bin ich mit dem wechsel zu einem anderen browser den Trojaner los?
Schadet der nicht auf andere Weise auf dem Rechner?
Ich glaube du hast opera als browser empfohlen oder?


@sniper1082
ich habe mir den trojan cleaner hier als 30 Tage Version heruntergeladen.
http://www.pctip.ch/downloads/dl/17804.asp
Habe ein update gemacht und sowohl im abgesicherten wie auch normalen Modus gescannt.
Ohne Ergebnis (die Werbund von denen "er kann sich nicht verstecken auch wenn er seinen Namen ändert.... kannst Du vergessen!)

Sorry leider keine gute Nachricht.
Wüsste dennoch gerne mit welchem Programm der US boy das geschafft haben soll?

[img]graemlins/koch.gif[/img] Willy

Olo 17.06.2004 15:00
</font><blockquote>Zitat:</font><hr /> Bin ich mit dem wechsel zu einem anderen browser den Trojaner los?
Schadet der nicht auf andere Weise auf dem Rechner? </font>[/QUOTE]nein los bist du ihn nicht solange du ihn nicht restlos entfernst
ob er schadet kann man nicht mit sicherheit sagen
ein hijacker macht imho normalerweise nicht viel anderes als dein surfverhalten mit dem IE auszuspionieren und deine startseite / favoriten zu ändern u.ä. sachen
allerdings lassen sich so natürlich auch trojaner herunterladne und installieren
deshalb kann man nicht sagen was wirklich alles passiert
es gibt ja einige leute die nach einer kompromittierung sofort für neuaufsetzen sind, da man nie sagen was ein schädling noch so alles mitgebracht hat
du kannst nu natuerlich mit einem andren browser surfen trotzdem ist das nur eine übergangslösung solang das teil noch existiert


</font><blockquote>Zitat:</font><hr />
Ich glaube du hast opera als browser empfohlen oder? </font>[/QUOTE]nur weil ichs selbst benutze es gibt genug alternativen
firefox netscape mozilla
opera ist nur eine davon

sniper1082 17.06.2004 15:20
</font><blockquote>Zitat:</font><hr />Original erstellt von design-willy:

@sniper1082
ich habe mir den trojan cleaner hier als 30 Tage Version heruntergeladen.
http://www.pctip.ch/downloads/dl/17804.asp
Habe ein update gemacht und sowohl im abgesicherten wie auch normalen Modus gescannt.
Ohne Ergebnis (die Werbund von denen "er kann sich nicht verstecken auch wenn er seinen Namen ändert.... kannst Du vergessen!)

Sorry leider keine gute Nachricht.
Wüsste dennoch gerne mit welchem Programm der US boy das geschafft haben soll?

[img]graemlins/koch.gif[/img] Willy [/QB]</font>[/QUOTE]Schade, hoffentlich gibt es baldmöglichst ein Tool, mit dem man dieses nervige Ding löschen kann. [img]graemlins/kloppen.gif[/img]

Lutz@Work 17.06.2004 15:47
Hallo Snyper,

</font><blockquote>Zitat:</font><hr />
Logfile of HijackThis v1.97.7
Scan saved at 13:22:20, on 17.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.50 SP1 (5.50.4522.1800)</font>[/QUOTE]Der Internet-Explorer sollte schnellstmöglich aktualisiert werden, ist aber im Moment nicht das alleinige Problem.


</font><blockquote>Zitat:</font><hr />
C:\WINDOWS\NTAB.EXE
C:\WINDOWS\SYSTEM\MFCRO.EXE
</font>[/QUOTE]Diese Dateien bitte online bei Kaspersky scannen oder besser gleich eScan im abgesicherten Modus (!!) über den Rechner laufen lassen.
Wenn als infiziert gemeldet, löschen!!

Folgendes fixen (auch im abgesicherten Modus):
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://occtj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\occtj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet
O2 - BHO: (no name) - {35BA9597-A545-9F72-A195-B277AD30601D} - C:\WINDOWS\SDKKK.DLL
O2 - BHO: (no name) - {15F4AA79-6452-7B4B-7AA3-173995DD541C} - C:\WINDOWS\SDKKK.DLL
O4 - HKLM\..\Run: [MFCRO.EXE] C:\WINDOWS\SYSTEM\MFCRO.EXE
O4 - HKLM\..\RunServices: [NTAB.EXE] C:\WINDOWS\NTAB.EXE
</font>[/QUOTE]Die folgenden Dateien löschen:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\occtj.dll
C:\WINDOWS\SDKKK.DLL</font>[/QUOTE]In der Registry nach diesen Dateien suchen:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\occtj.dll
C:\WINDOWS\SDKKK.DLL</font>[/QUOTE]und evtl. vorhandene Einträge löschen.
Ich empfehle bei jedem EIngriff in die Registry vorher ein Backup zu machen.

Gruß,
Lutz

sniper1082 22.06.2004 08:41
:D

Es ist weg!!!

Dank nitro´s Lösung!

http://www.trojaner-board.de/forum/u...c;f=6;t=005614

Grüße sniper1082


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:33 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131