Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE startet selbständig / IEstart.gen.d (https://www.trojaner-board.de/7839-ie-startet-selbstaendig-iestart-gen-d.html)

wsbauer 25.09.2004 14:59
IE startet selbständig / IEstart.gen.d
 
Kann mir bitte jemand helfen!
Mein IE startet selbständig und macht im 1Sek.-Takt ein neues Fenster auf.
Meinen Arbeitsplatz habe ich bereits mit McAfee und Ad-Aware gescannt,
doch die gefundenen Trojaner und Spiders konnten nicht gelöscht werden;
befinen sich in c:/_restore/TMP/A0030884.cpy und
c:/_restore/ARCHIV/FS855.cab + FS929.cab
(was das ist - keine Ahnung)

Der Name des Trojaner ist lt. den Anti-VirenProg. = JS/IEstart.gen.d
Ich kann aber auch keine Anwendung mit dem Namen sp.exe finden.

CWShredder habe ich bereits laufen lassen und nun HijackThis.
Beim auswerten der Log-Daten bin ich mir aber sehr unsicher - kann mir jemand helfen? Danke!!!

Logfile of HijackThis v1.98.2
Scan saved at 04:08:18, on 23.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\WPSPSW.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETSCAPE\NETSCAPE 6\NETSCP.EXE
C:\PROGRAMME\ANTIVVIRUSPROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

F1 - win.ini: load=WPSHRC.EXE
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\SYSTEM\WINB2S32.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/fu...tup1.0.0.8.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

Kann mir bitte jemand helfen!

chaosman 25.09.2004 15:38
@wsbauer


vermutlich ist es dieser
http://us.mcafee.com/virusInfo/defau...&virus_k=99066

hast du mcafee schon mal in den abgesicherte Modus laufen lassen?

chaosman

Cidre 25.09.2004 15:51
@ wsbauer

Zitat:
befinen sich in c:/_restore/TMP/A0030884.cpy und
Deaktiviere die Systemwiederherstellung, danach Neustart, aktiviere sie wieder und das Problem ist gelöst.

Wechsle in den abgesicherten Modus:
Deinstalliere unter Software -> VBouncer

Fixe diese Einträge ( Haken setzen und auf Fix Checked klicken):
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\SYSTEM\WINB2S32.DLL
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/f...etup1.0.0.8.cab

Lösche diese Dateien:
C:\WINDOWS\SYSTEM\WINB2S32.DLL
Ordner C:\Programme\VBouncer

Mit Spybot scannen und danach ein neus Log-File posten.

wsbauer 26.09.2004 16:45
Nun alles getan was empfohlen wurde - sieht dies nun geheilt aus!?

Hier die Log-Daten danach:
Logfile of HijackThis v1.98.2
Scan saved at 15:01:37, on 23.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE
C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\INSTANT UPDATER\RULAUNCH.EXE
C:\WINDOWS\SYSTEM\WPSPSW.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVVIRUSPROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

F1 - win.ini: load=WPSHRC.EXE
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\ANTIVV~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\PROGRAMME\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [McAfee Guardian] "C:\PROGRAMME\MCAFEE\MCAFEE SHARED COMPONENTS\GUARDIAN\CMGRDIAN.EXE" /SU
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\McAfee\McAfee VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [McAfee Firewall] "C:\PROGRAMME\MCAFEE\MCAFEE FIREWALL\CPD.EXE" /SERVICE
O4 - HKLM\..\RunServices: [GuardDogEXE] "C:\PROGRAMME\MCAFEE\MCAFEE INTERNET SECURITY\GUARDDOG.EXE" /SERVICE
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - User Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253

chaosman 26.09.2004 17:07
@wsbauer

dein system sieht sauber aus

chaosman

wsbauer 29.09.2004 17:06
VIELEN DANK für die Unterstützung!
Meinen IE hatte ich ja zwischenzeitlich von meinem PC gelöscht, von einer
Neuinstallation laß ich jetzt wohl die Finger.
Servus

Organic 29.09.2004 17:30
Und wie machst Du Deine Windows Updates?

Organic

*Christian* 29.09.2004 20:58
Manuell die Updates herunterladen ....

Außerdem lässt sich der IE nicht vollständig entfernen.

Vielleicht hast du ja nur das Icon gelöscht. ;) :p

wsbauer 01.10.2004 19:08
Hätte ich das Icon löschen sollen, ich hab es erstmal nur am Monitor überklebt ;-) .
WindowsUpdates mache ich derzeit garnicht, das Übel kann nicht größer sein, als wenn ich mir den IE wieder installiere und so wieder "Futter für den Virus biete".

Dank der Unterstützung in diesem Forum funktinoniert derzeit alles wunderbar - daran werde ich nun auch nichts ändern.
Servus

chaosman 01.10.2004 19:36
@wsbauer

du könntest mit den IE nur zum updaten von windows benützen, und zum surfen z.B. firefox
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131