Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   immer noch about:blank verändert... (https://www.trojaner-board.de/6647-immer-noch-about-blank-veraendert.html)

hmenny 04.08.2004 09:18
immer noch about:blank verändert...
 
meine IE-Startseite ist noch immer verändert. Nach Tip von Lutz habe ich escan arbeiten lassen. Dabei folgende Viren gefunden und gelöscht:

Fri Jul 30 15:30:39 2004 => Process C:\WINNT\system32\SCVHOST.EXE Found running in Memory...
Fri Jul 30 15:30:39 2004 => *** Killing Infected Process C:\WINNT\System32\SCVHOST.EXE...
Fri Jul 30 15:30:40 2004 => *** Killing Successful.
Fri Jul 30 15:30:41 2004 => File C:\WINNT\System32\SCVHOST.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: File Deleted.

Fri Jul 30 15:30:46 2004 => Scanning File C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
Fri Jul 30 15:30:47 2004 => ERROR!!! Invalid Entry KEWelcomeReBoot = E:\welcome_S500.exe. Removing it.
Fri Jul 30 15:30:47 2004 => Scanning File C:\WINNT\System32\REGCPM32.EXE
Fri Jul 30 15:30:47 2004 => File C:\WINNT\System32\REGCPM32.EXE infected by "Trojan.Win32.Dasmin.b" Virus. Action Taken: File Deleted.

Fri Jul 30 15:30:47 2004 => *** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINNT\System32\REGCPM32.EXE (which is infected)!
Fri Jul 30 15:30:47 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RegCompres deleted because it is infected by a Virus

Fri Jul 30 15:33:39 2004 => Scanning File C:\WINNT\System32\xdldr24.exe
Fri Jul 30 15:33:39 2004 => File C:\WINNT\System32\xdldr24.exe infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: File Deleted.

habe nochmal hijackthis laufen lassen... Ergebnis:

Logfile of HijackThis v1.98.0
Scan saved at 10:18:53, on 04.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\WINNT\MS\SMS\CORE\BIN\CLISVCL.EXE
C:\PROGRA~1\LAPLIN~1\TSIINET.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\SYSTEM32\THOTKEY.EXE
C:\Programme\TOSHIBA\TME3\Tmesbs3.exe
C:\Programme\TOSHIBA\TME3\Tmesrv3.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINNT\System32\TSIRCSRV.EXE
C:\WINNT\system32\usrbridg.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\MS\SMS\CLICOMP\RemCtrl\Wuser32.exe
C:\OfficeScan NT\ofcdog.exe
C:\WINNT\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINNT\TSI32\tsircusr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\TPWRTRAY.EXE
C:\WINNT\System32\TFNF5.exe
C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE
C:\Programme\Common Files\LapLink\Scheduler\LLSCHENG.EXE
C:\OfficeScan NT\pccntmon.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINNT\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\Palm\HOTSYNC.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\MSACCESS.EXE
C:\WINNT\System32\cidaemon.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\M~2\LOCALS~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 212.66.135.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;192.168.*;*.intern;172.23.20.200;;<local>
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\TSI32\tsircusr.exe
O1 - Hosts: 213.159.117.235 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CriticalUpdate] "C:\WINNT\System32\wucrtupd.exe" -startup
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [TMESRV.EXE] C:\Programme\TOSHIBA\TME3\TMESRV3.EXE /Logon
O4 - HKLM\..\Run: [TMESBS.EXE] C:\Programme\TOSHIBA\TME3\TMESBS3.EXE /logon
O4 - HKLM\..\Run: [TFNF5] TFNF5.exe
O4 - HKLM\..\Run: [TosHKCW.exe] C:\Programme\TOSHIBA\Wireless Hotkey\TosHKCW.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINNT\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [RegShave] C:\Progra~1\REGSHAVE\REGSHAVE.EXE /autorun
O4 - HKLM\..\Run: [LapLink Scheduler] "C:\Programme\Common Files\LapLink\Scheduler\LLSCHED.EXE"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: HotSync Manager.lnk = C:\Palm\HOTSYNC.EXE
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.exe...0/dexPL897.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXX.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF122BFE-8FE6-4ADA-86CB-B5FED82E1B0D}: NameServer =
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA2A7227-4C0B-457A-A1D5-BEAF14D42618}: Domain = XXX.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXX.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXX.de
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll

*Christian* 04.08.2004 15:08
Du solltest unbedingt mal www.windowsupdate.com besuchen und alle Updates und Patches installieren.

Fixen:
O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!http://209.8.161.54:80/iex/ofile.ex...80/dexPL897.exe
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/active...ol_v1-0-3-0.cab
O18 - Protocol: start - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/html - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll
O18 - Filter: text/plain - {63B95211-7D77-11D2-9F80-00104B107C96} - C:\WINNT\System32\CFILORUX.dll

Danach die Datei C:\WINNT\System32\CFILORUX.dll manuell löschen.
Die anderen Dateien/Prozesse sagen mir nichts. Sollte vielleicht jemand anderes mal anschauen.

hmenny 05.08.2004 14:18
Habe einträge gefixt aber kann die Datei nicht löschen ("wird von Windows benutzt") Daher sind beim erneuten scan auch die O18-Einträge wieder da und die Startseite entsprechend.
Gibts da nen Trick?

*Christian* 05.08.2004 14:24
Hab vergessen es dir zu sagen:
Mach das ganze im abgesicherten Modus.

850 05.08.2004 15:15
Hallo,
Lade dir die neuste Version von Hijack Version 1.98.1 und probiere es
dann nochmal, ich konnte die Einträge dann fixen

*Christian* 05.08.2004 16:16
Unabhängig von der Version.
Das löschen ist im abgesicherten Modus zu machen.

Danach kannst du ja nochmal ein Log mit der neuen Version von HijackThis posten.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131