Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Problem Problem... (https://www.trojaner-board.de/8031-problem-problem.html)

Frickel 02.10.2004 11:53

Problem Problem...
 
Hallo,

ich bin durch Zufall auf diese Website gestoßen, und hoffe, das jemand so freundlich ist, und mir helfen kann.
Habe mir wohl was eingefangen.
Folgendes Problem tritt auf: Startseite ändert sich nach belieben in "Search this...", unter Startseite in Internetoptionen steht about:blank.
SVCHost.exe steht 3 mal in meinem Task und versucht auch 3 mal hintereinander auf das Internet zuzugreifen (sehe ich aufgrund meiner Firewall). Explorer.exe versucht es neuerdings auch...
Spybot findet jedes mal neue Spyware, genauso wie adaware - selbst nach löschen/immunisieren sind sie noch da.
Und jetzt kommt das allerbeste: meine Internetverbindung funzt seid den Problemen nicht mehr. Wenn ich meine Moden (ISDN) ansteuern will, versucht er zu verbinden, bricht aber mit dem Fehler ab, das Moden würde schon benutzt oder ist falsch angeschlossen.
Da ich aber momentan mit meinem 2en PC im Netzt bin, kann es kein Hardwarefehler sein... und da ich seit dem Befall nix geändert habe, muss es wohl daran liegen...

Vorrangig würde es mir aber helfen, wenn ich diesen Trojaner/HiJacker erst mal von meiner Platte hätte und ich bedanke mich schon mal bei allen, die sich die Mühe gemacht haben, bis hierher zu lesen...

Viele Worte, aber jetzt kommt (glaube ich) das wichtigste:
Mein HiJack This Log:

Logfile of HijackThis v1.98.0
Scan saved at 11:25:21, on 02.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\3Com_DMI\3CDMINIC.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
D:\Sicherheit\Norton Internet Security Family Edition\NISUM.EXE
d:\SICHER~1\NORTON~2\npssvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
D:\Sicherheit\Trend Micro\PC-cillin 2002\Tmntsrv.exe
D:\Sicherheit\Norton Internet Security Family Edition\NISSERV.EXE
D:\Sicherheit\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
D:\Sicherheit\Trend Micro\PC-cillin 2002\pccguide.exe
D:\Sicherheit\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\WINDOWS\System32\devldr32.exe
D:\Sicherheit\Trend Micro\PC-cillin 2002\Pop3trap.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
D:\Sicherheit\Norton Internet Security Family Edition\IAMAPP.EXE
D:\multimedia\quicktime\qttask.exe
D:\Sicherheit\Trend Micro\PC-cillin 2002\WebTrap.EXE
D:\ISDN\Eumex 504PC USB\Capictrl.exe
D:\bluetooth\BTTray.exe
D:\Sicherheit\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\multimedia\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {71472649-6457-4673-A459-F0B4A2829A4D} - C:\WINDOWS\System32\fmnjeba.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [TCASUTIEXE] TCAUDIAG.EXE -off
O4 - HKLM\..\Run: [pccguide.exe] "D:\Sicherheit\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "D:\Sicherheit\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "D:\Sicherheit\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cpqek] C:\Programme\Compaq\Compaq EAB Software\cpqek.exe
O4 - HKLM\..\Run: [routcnf] D:\ISDN\Eumex 504PC USB\routcnf.exe
O4 - HKLM\..\Run: [NPS Event Checker] d:\SICHER~1\NORTON~2\npscheck.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [iamapp] "D:\Sicherheit\Norton Internet Security Family Edition\IAMAPP.EXE"
O4 - HKLM\..\Run: [QuickTime Task] "D:\multimedia\quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [YAW starten] "D:\Sicherheit\YAW 3.5\YAW 3.5\yawguard.exe"
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Download with &DAP - D:\INTERNET\DAP7\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - D:\INTERNET\DAP7\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {12435019-7E57-6FF7-32EA-14FE741A432A} - http://63.219.176.203/1/gdnDE513.exe
O18 - Filter: text/html - {56100BC3-6E92-474F-B031-AE2F952D8E35} - C:\WINDOWS\System32\fmnjeba.dll
O18 - Filter: text/plain - {56100BC3-6E92-474F-B031-AE2F952D8E35} - C:\WINDOWS\System32\fmnjeba.dll
O21 - SSODL: System - {2F8BC88C-E946-4E58-B89D-6813A89CF4B7} - C:\WINDOWS\system32\system32.dll

Cidre 02.10.2004 12:10

Hallo,

der Grund für die derartigen Malware Probleme ist, wie so oft in letzter Zeit, ein nicht gepatchtes System!
Also dringendst mit Updates und Patches versorgen.
http://v5.windowsupdate.microsoft.co...r/default.aspx

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus und fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:NavigationFailure
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {71472649-6457-4673-A459-F0B4A2829A4D} - C:\WINDOWS\System32\fmnjeba.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O16 - DPF: Win32 Classes -
O16 - DPF: {12435019-7E57-6FF7-32EA-14FE741A432A} - http://63.219.176.203/1/gdnDE513.exe
O18 - Filter: text/html - {56100BC3-6E92-474F-B031-AE2F952D8E35} - C:\WINDOWS\System32\fmnjeba.dll
O18 - Filter: text/plain - {56100BC3-6E92-474F-B031-AE2F952D8E35} - C:\WINDOWS\System32\fmnjeba.dll
O21 - SSODL: System - {2F8BC88C-E946-4E58-B89D-6813A89CF4B7} - C:\WINDOWS\system32\system32.dll

Lösche diese Dateien:
C:\WINDOWS\System32\fmnjeba.dll
C:\WINDOWS\system32\system32.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen....xp/tipp16.html
- neue Startseite vergeben
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

Frickel 02.10.2004 12:31

Hi,

das ging ja zügig.
Vielen Vielen Dank - werde mich in mein Kämmerchen einschliessen und loslegen - bleibt noch das Problem, die ganzen Updates auf meinen Rechner zu bekommen, da ich kein Netzwerk habe - aber wozu gibt es Speichersticks : )

Nochmal: Vielen Dank!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131