Trojan.Win32.Startpage.is Problem
 

Hallo,

ich habe ein riesen problem mit dem firmen pc meines vaters. Seit einigen tagen hat sich bei im der besagte virus/trojaner eingenistet und läßt sich nicht entfernen.

Auch unser it-berater hat sich bereits daran versucht, allerdings nur über standart-methode antiviren programm.

Gescannt wurde inzwischen über f-secure, norton und andere schnelltests.
F-secure ist der standartmäßige virenschutz und erkennt die infizierung eigentlich immer direkt, nur läßt er sich darüber nicht endgültig entfernen.

Nachdem ich beim googeln auf diese seite gestoßen bin, hab ich auch einen thread gefunden in dem es genau um diesen ging.
Dort hieß es nach posten eines logs: diesen und jenen eintrag entfernen, zusätzlich falls er eine stealth.dll hat auch über !findnfix! oder so prüfen.

Dies war ca der wortlaut, den originalen fred finde ich jetzt natürlich nicht mehr. :headbang:

Leider habe ich diese anweisungen nicht ganz korrekt befolgt, stattdessen bin ich so vorgegegangen:
!findnfix! im abgesicherten mit eingabeaufforderung laufen lassen. Gehofft das er weg ist, leider nein.
Dann nen log erstellt und die gleichen 3 pkte wie im anderen thread gefixed, leider nicht im abgesicherten. Gehofft das er weg ist, leider nein.

So und nun steh ich da, bei weiterem loggen sind die entsprechenden einträge nun leider nicht mehr aufzufinden. Den ersten log könnte ich nachreichen, hab im moment leider keinen zugriff drauf.

Der nette trojan erscheint leider weiterhin irgendwann nachdem man den browser gestartet hat, und wird dann halt auch von f-secure gefischt.
Er sitzt immer im ordner windows/system32/ und hat unbestimmte buchstaben + .dll endung.

Das system ist win xp sp1 mit allen patches, der browser der flashpeak slimbrowser, der meines wissens aber hauptsächlich auf dem ie basiert.

So und nun erbitte ich mir von euch hilfe, der scheiß trojan beschäftigt mich schon den ganzen tag und ich bin echt am verzweifeln.

mfg
acesulfam

Dickes Edit

Habe nach unendlichem hin und her endlich den original post gefunden und zwar hier http://www.trojaner-board.de/showthr...4526#post64526
(habe was von einer boardumstellung gelesen, dabei scheint die thread id ungültig geworden zu sein, da ich über den original google link am firmen pc bei mir nix erreicht habe)

Und den log gibts nun auch dazu:

Logfile of HijackThis v1.98.2
Scan saved at 15:59:35, on 09.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SlimBrowser\sbrowser.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://192.168.0.12:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer =

http=192.168.0.12:3128;https=192.168.0.12:3128;ftp=192.168.0.12:3128;socks=192.168.0.12:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1DA80CB7-7DA0-4700-8C2B-13FA71295199} - C:\WINDOWS\System32\mcg.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All

Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) -

http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) -

http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) -

http://www.alloticket.com/MicroPaiem...WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) -

http://81.1.41.137/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer =

192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer =

192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local
O18 - Filter: text/html - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll
O18 - Filter: text/plain - {7530751D-70A2-4276-81A5-D8743BBB9EB6} - C:\WINDOWS\System32\mcg.dll

Gelöscht habe ich:
02 BHO no name no file etc
018 ..... mcg.dll
018 ..... mcg.dll

Hoffe das hilft euch weiter

P.S: Hatte dem kind ausversehen schon nen falschen namen gegeben, der macht mich echt fertig

Kleines Edit

Danke schonmal sd, den escan werde ich gleich morgen früh dann testen, das besorgen des logs und des threds hat mich jetzt endgültig gebrochen, unglaublich wie langsam eine remote sitzung sein kann :D
Ich weiß selber nicht wie er sich den eingefangen hat, ich persönlich habe noch nie probleme gehabt.

Hallo acesulfam und willkommen an Board,

lade Dir bitte entsprechend der entsprechend der Anweisung hier eScan runter, update ihn online und lass Deine Festplatte im abgesicherten Modus - laut Anweisung - scannen. eScan entfernt, was nicht zum System Deines Computers gehört.

Hier findest Du weitere Information, die Dir helfen kann, Dein System clean zu halten, z.B. Hitntergrundinformationen, Vorbeugungsmaßnahmen, Tools zur Vorbeugung vor erneutem Befall, wenn Du nicht auf den IE verzichten magst oder kannst, sowie Tipps zu weiteren Browsern, die sicherer und weniger anfällig sind als der IE.

Fang am besten mit eScan an - entsprechend der Anweisung.

Lieben Gruss
SD

Hallo,

so bin deinen anweisungen gefolgt.
Der escan hat folgendes ergeben:
File C:\WINDOWS\System32\lbaphp.dll infected by "Trojan.Win32.StartPage.is" Virus. Action Taken: File Deleted.
File C:\WINDOWS\System32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.
File C:\WINDOWS\Downloaded Program Files\WEBINSTALL.0LL infected by "TrojanDownloader.Win32.WebInstall" Virus. Action Taken: File Deleted.
File C:\WINDOWS\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.

Der Hijack log sieht so aus (nicht abgesicherter modus):
Logfile of HijackThis v1.98.2
Scan saved at 09:18:16, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Programme\KEN!\kentbsrv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Symantec\pcAnywhere\awhost32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.12:3128/ken2000.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.0.12:3128;https=192.168.0.12:3128;ftp=192.168.0.12:3128;socks=192.168.0.12:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/MicroPaiem...WebInstall.dll
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local

Eine virus-meldung kam bislang nicht, bin aber auch erst wieder 5 min drin im netz :D
Denkt ihr dieser eintrag :TrojanDownloader.Win32.WebInstall könnte der wahre übeltäter gewesen sein? der wurde von den anderen programmen bislang nie angezeigt.

Nebenbei, kennt einer die beiden anderen? finde den namen ja nicht unbedingt vertrauenserweckend, auch wenn escan ihn nicht löschen wollte.
Bei einem sscan auf meinem eigenen rechner, hat er 2 programme die ich eigentlich als sicher kenne direkt umbenannt.

mfg
aces

und danke bis dahin

Hallo acesulfam,

diese Einträge bitte fixen mit HijackThis:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.0.12:3128/ken2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.spiegel.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)
O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdat
O16 - DPF: {7DBFDA8E-D33B-11D4-9269-00600868E56E} (WWWInstall Class) - http://www.alloticket.com/Mic
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://81.1.41.137/activex/Axis

... was die anderen Prozesse anbelangt, übergebe ich Dich an die Kollegen hier an Board.

Lieben Gruss
SD

Aha,
werde ich dann tuen.
Soll ich im abgesicherten modus oder im normalen fixen?

Bzw. wollte ich mich sowieso gerade melden, da mein vater anscheinend dreckige finger hat. Sobald der den pc anfasst und ins internet geht springt der f-secure an.

Diesmal hat er den virus in lokale einstellungen/.../temp internet files/.../[m1].bin (den genauen pfad hat mein dad leider weggedrückt und im moment findet f-secure das ding nicht mehr :headbang:

mfg
aces

Lösche zunächst über die Internetoptionen alle deine temporären files (währenddessen und danach nicht wieder online gehen bzw. den IE starten!), dann starte in den abgesicherten Modus, lass noch einmal E-Scan drüberlaufen und fixe dann die aufgeführten Sachen ebenfalls im abgesicherten Modus.

da hilft wohl nur noch umerziehung ;).

am besten installierst du deinem vater als erstes einen vernünftigen browser (z.b. mozilla), solches zeug fühlt sich nämlich nur im IE wohl ;).

du solltest nach der entfernung (--> MountainKing) nochmal ein highjackthis-log erstellen und hier posten.


gruß,
Cassandra

Aha,
werde mich dann mal genau an mountainking's anweisungen halten.

Ich alte vorwitznase konnte natürlich die finger nicht still halten und hab schonmal die von sd angegebenen pkte gefixed.

Danach lief unser avm ken leider nicht mehr. Es startete nicht und baute auch nach manuellem start keine verbindung auf.
Erst nach wiedereinspielen dieses keys: O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF
lief es wieder.

Mache mich dann mal ans erneute fixen.

mfg und thx
aces

Edit;
SO, diesesmal habe ich mich genau an alle anweisungen gehalten.
Escan fand meinen freund wieder in system32, diesmal als landbd.dll.

Der nachfolgende hijack log sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 12:20:53, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local

die einträge aus sd's post waren nicht mehr zu finden, was wohl daran liegt das ich sie schon gelöscht hatte :D.

So muß jetzt erstmal weg und getestet werden kann es auch im moment nicht, falls euch noch etwas auffällt -> sagt es mir plz
Sollte ab jetzt nichts mehr auftreten fühlt euch alle ge :knuddel:

mfg
aces

O4 - Startup: Neue Host-Modusdefinition.lnk = C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\pcAnywhere\Neue Host-Modusdefinition.BHF

solltest du dann natürlich auch beim nächsten Mal NICHT fixen. :)

der geht noch schnell:

warum das :confused: :confused: :D

wurde mir aber auch gar nicht mehr zum fixen angezeigt.
Immerhin läuft ken jetzt wieder sonst könnte ich euch ja nicht schreiben :D
Auch wenn ich mich frage warum ein pcanywhere eintrag den ken(ny) killt.

bis dann

aces

Da bin ich wieder und ich habe euch was mitgebracht.

Mein freund ist wieder da :heulen: :heulen: :heulen:

So nun scheine ich leider wieder am anfang zu sein, habt ihr sonst noch vorschläge??
Wie sieht es mit diesem !findnfix! programm aus dem ganz oben verlinkten thread aus, gibts eine kombination mit der ich es ml probieren sollte?

mfg
aces

Das gleiche nochmal ...
Vielleicht solltest du auch mal Spybot www.safer-networking.de und Ad-aware www.lavasoft.de herunterladen und danach updaten und scannen.
Beide Programme sind Freeware!

Hallo acesulfam,

FINDnFIX findest Du hier: http://downloads.subratam.org/FINDnFIX.exe

Mit dieser exe 'installierst' Du FINDnFIX in dem Ordner C:\FINDnFIX.
Dort führe bitte die !LOG.BAT! aus. Dann läuft das Tool einige Zeit (können durchaus mehrere Minuten sein!). Zum Schluß erhältst Du im gleichen Verzeichnis eine Log-Datei mit dem Namen log.txt. Den Inhalt dieser Datei poste hier bitte einmal (das Log kann recht lang ausfallen, evtl. musst Du das auf zwei Antworten verteilen).

Im aktuellen HijackThis-Log sehe ich 'nur' diesen Eintrag, der gefixt werden sollte:

hi,

ok dann werde ich das mal tuen, sollte ich vorher nochmal escan laufen lassen und deinen eintrag fixen oder zuerst findnfix?

bzw. habe diesen eintrag bei pestpatrol gefunden wie sollte ich das prog in die ganze prozedur einbinden?

mfg
aces

Moin,

Es schadet jedenfalls nicht, wenn Du eScan noch einmal (nach Aktualisierung im abgesicherten Modus) laufen lässt. Und den genannten Eintrag kannst Du auf jeden Fall fixen.

Poste bitte erst einmal das Log von findnfix. Dann sehen wir weiter...

So hallo, da bin ich wieder und habe haufenweise logs mitgebracht.

Erstmal der escan log:

File C:\WINDOWS\System32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.
File C:\WINDOWS\system32\nethv32.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.d. No Action Taken.

Dann den hijckthis log:

Logfile of HijackThis v1.98.2
Scan saved at 09:52:16, on 12.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\chef 1\Eigene Dateien\Virus-Zeug\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.0.12:3128/ken2000.html
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = FIRMA.local
O17 - HKLM\Software\..\Telephony: DomainName = FIRMA.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C74D3FEA-54CF-4CF6-BD7A-D8FC0402A920}: NameServer = 192.168.0.1,127.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBDD636B-9621-438E-8BBA-A0457005001F}: NameServer = 192.168.114.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = FIRMA.local

Wobei ich diesen: R3 - Default URLSearchHook is missing log nach dem scan gefixed habe.

Und nun der FindnFix log: Teil1

Thu 12 Aug 04 10:37:02

»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»

*System:
Microsoft Windows XP Professional 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q832894-Q831167-Q837009-Q823353-Q867801


__________________________________
!!*Creating backups...!!

The operation completed successfully
__________________________________

*Local time:
Donnerstag, 12. August 2004 (12.08.2004)
10:37, Westeuropäische Sommerzeit
*Uptime:
10:37:04 up 0 days, 0:01:06

----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group CHEF1\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [CHEF1\Administrator], is a member of:

VORDEFINIERT\Administratoren
\Everyone

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

»»»»»»»»»»»»»»»»»»***LOG!***(*updated 8/11)»»»»»»»»»»»»»»»»

»»»*»»»*Use at your own risk!»»»*»»»*

Scanning for file(s)...
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»» (*1*) »»»»» .........
»»Locked or 'Suspect' file(s) found...

C:\WINDOWS\SYSTEM32\D3D.DLL +++ File read error
\\?\C:\WINDOWS\System32\D3D.DLL +++ File read error

»»»»» (*2*) »»»»»........
D3D.DLL Can't Open!
DSOUND3D.DLL Can't Open!

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»
¯ Access denied ® ..................... D3D.DLL .....57344 07.07.2004
¯ Access denied ® ..................... DSOUND3D.DLL ...1293824 18.08.2001

»»»»»(*6*)»»»»»
fgrep: can't open input C:\WINDOWS\SYSTEM32\D3D.DLL
fgrep: can't open input C:\WINDOWS\SYSTEM32\DSOUND3D.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...


C:\WINDOWS\SYSTEM32\
d3d.dll Wed 7 Jul 2004 13:59:06 ..... 57.344 56,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 57.344 bytes 56,00 K

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\D3D.DLL
SNiF 1.34 statistics

Matching files : 1 Amount in bytes : 57344
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

Und den FindnFix log: Teil2


BHO search...

fgrep: can't open input C:\WINDOWS\SYSTEM32\D3D.DLL
fgrep: can't open input C:\WINDOWS\SYSTEM32\DSOUND3D.DLL
**File C:\WINDOWS\SYSTEM32\LBMBMBA.DLL
00002004: A4 62 2A DF D5 7E 05 00 . 00 00 00 00 B6 31 03 80 ¤b*ßÕ~.. ....¶1.€


"C:\WINDOWS\system32\"
lbmbmba.dll 12 Aug 2004 30720 "lbmbmba.dll"

1 item found: 1 file, 0 directories.
Total of file sizes: 30.720 bytes 30,00 K


»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 448

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value does not match
________________________________

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = (*** MISSING TRAILING NULL CHARACTER ***)
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(NI) ALLOW Read VORDEFINIERT\Benutzer
(IO) ALLOW Read VORDEFINIERT\Benutzer
(NI) ALLOW Read VORDEFINIERT\Hauptbenutzer
(IO) ALLOW Read VORDEFINIERT\Hauptbenutzer
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access VORDEFINIERT\Administratoren
(NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(NI) ALLOW Full access VORDEFINIERT\Administratoren
(IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Read VORDEFINIERT\Hauptbenutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: ?
00001190: vk 8 f AppInit_
000011D0:DLLs G C : \ W I N D O W S \ S y s t e m 3 2 \ d 3 d . d l
00001210:l vk P UDeviceNotSelectedTimeout
00001250: 1 5 _ 9 0 x, vk ' zGDIProce
00001290:ssHandleQuota" vk Spooler2 y e s h
000012D0: p vk =pswapdisk vk
00001310: ` R TransmissionRetryTimeout p
00001350: X vk ' bBUSERProcessHandleQuota x
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖ�æGÀÿÿÿC
--------------
--------------
$011C8: AppInit_DLLs
$01237: UDeviceNotSelectedTimeout
$01287: zGDIProcessHandleQuota
$01320: TransmissionRetryTimeout
$0136E: bBUSERProcessHandleQuota
--------------
--------------
C:\WINDOWS\System32\d3d.dll
--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

Ntdll.DLL at 77F40000
Kernel32.DLL at 77E40000

NtQueryInformationFile (Entry at 2AE6BA80) restored to 77F4BDA8
NtQuerySystemInformation (Entry at 2AE69267) restored to 77F4BF08
LdrUnloadDll (Entry at 2AE66289) restored to 77F50A4A
LdrLoadDll (Entry at 2AE66F1F) restored to 77F46F1B
RtlGetNativeSystemInformation (Entry at 2AE69BDC) restored to 77F4BF08
RtlQueryProcessDebugInformation (Entry at 2AE69966) restored to 77F5C470
..........
*Debug...
--------------
--------------
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 56 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : "C:\WINDOWS\System32\d3d.dll"
0000 43 00 3a 00 5c 00 57 00 49 00 4e 00 44 00 4f 00 | C.:.\.W.I.N.D.O.
0010 57 00 53 00 5c 00 53 00 79 00 73 00 74 00 65 00 | W.S.\.S.y.s.t.e.
0020 6d 00 33 00 32 00 5c 00 64 00 33 00 64 00 2e 00 | m.3.2.\.d.3.d...
0030 64 00 6c 00 6c 00 00 00 | d.l.l...
-----------------------

»»»»»»Backups list...»»»»»»
10:40:51 up 0 days, 0:04:53
Thu 12 Aug 04 10:40:51


C:\FINDNFIX\
keyback.hiv Thu 12 Aug 2004 10:37:02 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Thu 12 Aug 2004 10:37:02 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Administrator.CHEF1\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 9 Aug 2004 8192 "keyback2.hi_"
winkey2.re_ 9 Aug 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K

C:\FINDNFIX\
JUNKXXX Thu 12 Aug 2004 10:37:02 .D... <Dir>

1 item found: 0 files, 1 directory.

-----END------
Thu 12 Aug 04 10:40:53


mfg
aces

HI,

habe jetzt mal mit pestpatrol gescannt, leider ist es nur eine testversion, und ich kann nicht ausprobieren ob es wirklich abhilfe schaffen würde.

Hier ist auch mal der log zu dem scan:
OS: Windows XP
Product Edition: Evaluation
PestPatrol version: 07.06.2004 4.4.3.24
PPServer.dll version: 26.01.2003
PPMemCheck version: 02.04.2004
PestPatrolCL version: 07.06.2004 4.4.3.19
PPUpdater version: 03.05.2004 4.4.3.36
PPfile.dat version: 29.05.2004
PPInfo.dat version: 29.05.2004
Spyware.dat version: 29.05.2004

Pests found:
BargainBuddy,HKEY_LOCAL_MACHINE\software\classes\interface\{9388907f-82f5-434d-a941-bb802c6dd7c1},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
CWS.GoogleMS.3,HKEY_CURRENT_USER\software\microsoft\windows\currentversion\internet settings\zonemap\domains\xxxtoolbar.com,na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
EGroup Directory,C:\Programme\instant access,na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{014da6c9-189f-421a-88cd-07cfe51cff10},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d2-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d3-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d5-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0d7-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\clsid\{0494d0db-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_CLASSES_ROOT\typelib\{0494d0d0-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown BHO,HKEY_LOCAL_MACHINE\software\classes\clsid\{014da6c9-189f-421a-88cd-07cfe51cff10},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU
Unknown Hijacker,HKEY_CLASSES_ROOT\clsid\{0494d0de-f8e0-41ad-92a3-14154ece70ac},na,na,12.08.2004,00-04-76-DC-6D-BE,DEU


Vielleicht hilft das ja weiter, ich weiß wirklich nicht mehr was ich machen soll.

mfg
acesulfam

Hallo,

hier haben wir vermutlich die Übeltäter:
Gehe auf 'Start'-> 'Ausführen' und dann je 1x folgende Zeile eingeben:

regsvr32 /u c:\windows\system32\D3D.DLL
regsvr32 /u c:\windows\system32\DSOUND3D.DLL
regsvr32 /u c:\windows\system32\LBMBMBA.DLL

Anschließend solltest Du die 3 Dateien auffinden und löschen können.

Scanne dann noch einmal mit einem (aktualisierten!) eScan im abgesicherten Modus, boote neu und erstelle ein neues Log mit HijackThis.

Werde ich mal wieder tuen,

der escan ist immer vorher geuppt, man will ja sicher gehen^^ ,
den lambada.dll eintrag, werde ich leider nicht mehr finden, da dies die datei ist die von den ganzen antivirenprogs gefunden wird.

Da sich aber ja immer sehr schnell eine neue einstellt, gibts sicher keine probleme einen adaquaten ersatz zu finden.

eine frage zum escan hätte ich aber noch:
Installiert ist er in c:\bases , nach einem update wird allerdings ein weiterer ordner erstellt, in dem die ganzen (glaube .vcr dateien liegen), ist er trotzdem auf dem neusten stand?

mfg
aces

Ja, dass ist durchaus korrekt so. Den Definitionsstand kannst Du in der untersten Zeile des Startbildschirms erkennen.

Hmm,

folgende probleme:

bei der eingabe den regsvr32-befehls, kommt bei beiden folgende fehlermeldung:
c:\windows\system32\d3d.dll wurde geladen, aber der DllUnregisterServer-Eingangspunkt wurde nicht gefunden.
Diese Datei kann nicht registriert werden.

Außerdem ist die \system32\d3d.dll nicht aufzufinden, jeglich die dsound3d.dll, befindet sich noch im ordner.

So was nun?

mfg
aces

Genau das ist das Problem. Die Datei ist noch da, aber 'hidden' also verborgen. Da FINDnFIX laut namen nicht nur findet, sondern auch fixen können soll, kannst Du mal versuchen, aus dem Ordner C:\FINDnFIX die Datei RESTORE.BAT auszuführen. Ich habe allerdings noch so gut wie keine praktische Erfahrung mit dem Tool....

Hallo,

hatte heute leider nur begrenzt zugriff auf den pc und konnte daher die ganze escan/hijackthis prozedur nicht nochmal laufen lassen.

Habe aber mal eine vollversion von pestpatrol drüberlaufen lassen, die hat dann noch einiges mehr gefunden und ich hab mal wild drauflosgelöscht :D

Und ich muß sagen, der rechner läuft jetzt erstmals mehrere stunden und internetbesuche ohne virenmeldung.
Daher werde ich die escan//.. logs erst wieder am montag posten, damit der rechner und mein vater zeit haben sich was neues einzufangen :D

Die restore.bat hab ich mal gestartet und dort kam dann eigentlich immer nur die meldung, dass die datei nicht gefunden wird.

Sollte der pc jetzt endlich wieder funzen, danke ich euch aus tiefsten herzen :knuddel:

werde ich auf dem laufen halten, bis dann
aces

Edit: mein dad hats wieder geschafft, der rechner lief stundenlang problemlos, er geht ran und zack isser wieder da :headbang: :headbang: :headbang: :headbang:
Komme jetzt nicht mehr an ihn ran, alle neuen logs gibts dann morgen oder am montag -> will dieses wochenende glaube ich nix mehr von dem hören.
bis dann

JA hallo, da bin ich wieder,

also hatte wirklich keine lust das we lang irgendwas von ihm zu hören :D

Hab noch ein paar mal alle scanner laufen lassen, allerdings taucht er in unregelmäßigen abständen immer mal wieder auf.

Da nun aber die entscheidung gefallen ist diesem pc ein jungfräuliches grundgerüst zu geben bin ich glaube ich soweit meinen freund trojan.win32 zum sieger durch technisches K.O. zu erklären.

Falls jemanden auf die schnelle noch was einfällt, kann er das gerne posten, schließlich kann ich nun ja etwas risikobereiter an die sache rangehen :D

Wenn nicht ist auch gut und ich bedanke mich bei euch allen für die hilfe.

mfg
aces