Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Mein Freund der Trojaner (https://www.trojaner-board.de/6072-freund-trojaner.html)

martinus 24.06.2004 12:14
Tja,hab jetzt auch Gesellschaft bekommen.Bei mir heißt die neue Startseite "A Search System".
Und die Grusskarte vom ungebetenen Besucher strahlt mich bei jedem Hochfahren des computers an!...pfad "monitor.exe" nicht gefunden.
Probiert habe ich ALLES was das Netz so hergibt:Kollektive Unfähigkeit...(und ich bin der Chef des ganzen)Der Rudi Völler des hijackerteams!
Ich werde das Gefühl nicht los,das Trojanerbauer&Virenscanprogrammschmiede irgendwie im gleichen Boot sitzen.Ohne den Einen ist der Andere überflüssig.
Teamwork eben!
Fazit:In der Vorrunde gescheitert! [img]graemlins/headbang.gif[/img]

design-willy 24.06.2004 12:39
Hallo martinus,

um bei deinen Worten zu bleiben
</font><blockquote>Zitat:</font><hr />Bei mir heißt die neue Startseite "A Search System".
</font>[/QUOTE]bedeutet 1:0 für die Anderen!

Mach doch mal einen logfile und lass uns sehen ob wir noch den Ausgleich vor der Pause schaffen!

Gruss Willy

martinus 24.06.2004 13:43
Hallo Willy!

Das nenne ich SPORTSGEIST!! [img]graemlins/daumenhoch.gif[/img]

Viel Spass damit!!
Logfile of HijackThis v1.97.7
Scan saved at 14:38:58, on 24.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\monitor.exe
C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\ScanPanel\ScnPanel.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\msdtc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Tanja\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Tanja\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 4.2\ABMTSR.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O9 - Extra button: ICQ (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
O13 - WWW Prefix: http://195.225.176.14/pre.pl?
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...108.3276388889
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F167A4CC-CA55-4578-B11B-15A36C3E24D0}: NameServer = 217.237.151.225 194.25.2.129

Jetzt bin ich ganz gespannt auf die 2.Hälfte!!

mmk 24.06.2004 13:49
C:\WINDOWS\monitor.exe

Sende diese Datei bitte mal an die beiden in meiner Signatur genannten Mailadressen. Es scheint sich um eine noch nicht erkannte Malware zu handeln, die u.a. auch den Signaturen des von dir genutzten Kaspersky hinzugefügt werden sollte.

martinus 24.06.2004 14:10
Habs gerade gemailt!!Neues VIRUS!!??-kriegt das dann meinen Namen? So wie bei den Biologen?? ;)

mmk 24.06.2004 14:12
Ja, du hast mir nochmal das hier bereits ersichtliche LogFile geschickt. Ich meinte aber die Datei monitor.exe (einfach als Dateianhang einer Mail anfügen). :)

Kpt.B. 24.06.2004 14:21
</font><blockquote>Zitat:</font><hr />Original erstellt von martinus:
...Neues VIRUS!!??-kriegt das dann meinen Namen? So wie bei den Biologen?? ;) </font>[/QUOTE]http://www.cheesebuerger.de/smiliege...age/30/134.png Kpt.B.

Nangie 24.06.2004 14:44
@ Kpt. B. http://www.mainzelahr.de/smile/froehlich/bravo.gif http://www.mainzelahr.de/smile/medien/five.gif

martinus 24.06.2004 14:57
Der CLOU ist,ich hab' selber auch einen "Virus",so mit Husten,Fieber,Kopping usw-nich' das ich mich beim RECHNER angesteckt habe,oder bei der DEUTSCHEN NATIONALMANNSCHAFT-die hat ja ebenfalls voll die Seuche.. [img]graemlins/balla.gif[/img]

Nangie 24.06.2004 15:37
@ martinus

</font><blockquote>Zitat:</font><hr /> Der CLOU ist,ich hab' selber auch einen "Virus",so mit Husten,Fieber,Kopping usw-nich' das ich mich beim RECHNER angesteckt habe, </font>[/QUOTE]Ich denke wohl nicht :D

Gute Besserung http://www.mainzelahr.de/smile/traurig/console.gif

martinus 24.06.2004 16:01
@nangie:
Danke,es ist schon viel besser!!! [img]graemlins/crazy.gif[/img]

mmk 24.06.2004 16:07
So, danke für die Zusendung - es ist in der Tat eine noch nicht in den Signaturen der AV-Programme erfasste Schadsoftware. Mach Folgendes:

1.) Drücke zugleich die Tasten Strg Alt Entf, somit rufst du den Taskamanger auf.
2.) Markiere dort den laufenden Prozess der monitor.exe. Beende dann diesen markierten Prozess mittels Klick.
3.) Geh in C:\Windows, und lösch die Datei monitor.exe.
4.) Starte HijackThis, wähle "Scan".
5.) Markiere sodann die folgenden Einträge durch Setzen eines Häkchens:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://195.225.176.14/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://195.225.176.14/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h+tp://195.225.176.14/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h+tp://195.225.176.14/ie
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h+tp://195.225.176.14/ie
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h+tp://195.225.176.14/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h+tp://195.225.176.14/

F0 - system.ini: Shell=Explorer.exe monitor.exe
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe

O13 - DefaultPrefix: h+tp://195.225.176.14/pre.pl?
O13 - WWW Prefix: h+tp://195.225.176.14/pre.pl?


Klick anschließend auf "Fix checked".

Nun müssten - zumindest die offensichtlichen - Malwaredateien gelöscht sein. Ein Restrisiko bleibt nach einer solchen Infektion aber immer, dass etwas nicht entdeckt wird.

Zudem empfehle ich dir präventiv einen anderen Browser:

http://mozilla-europe.org/de

martinus 24.06.2004 17:04
Das war ein Volltreffer! MAGIC MARKUS STRIKED!!!

Diesen Plagegeist bin ich los!!!
1000 Dank!!!!! [img]graemlins/huepp.gif[/img]

mmk 24.06.2004 17:19
Freut mich, dass es geklappt hat - aber letzlich doch ohne jede Magie. ;)

Danke für den Einsand der Datei, somit können ggf. auch noch andere von der Erfassung in den Signaturen profitieren, u.a. bei diesem Tool:

http://www.trojaner-board.de/forum/u...c;f=6;t=005602

mmk 24.06.2004 19:28
monitor.exe = Trojan.Win32.StartPage.in


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19