Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Update von meinem IE Problem (https://www.trojaner-board.de/10986-update-meinem-ie-problem.html)

Neudi 19.12.2004 18:08

Update von meinem IE Problem
 
Hallo,
wie bereits heute vormittag geschrieben, habe ich ein merkwürdiges Problem mit meinem Internet Explorer 6.0.
1.) Ich gehe mit t-dsl (DFÜ-Verbindung) online und starte den Explorer
2.) Meine Startseite (in meinem Fall GMX) lädt ganz normal und bleibt für ca. 1 bis 2 Sekunden aufgerufen (voll sichtbar, alles ok)
3.) Danach wechselt der Browser auf die "URL" (wenn man es so nennen möchte) http:///. Also einfach ein http, aber mit drei Slashs. Natürlich gibt´s diese Seite nicht und ich bekomme die Seite "Server nicht gefunden".

Ansonsten geht alles: Modzilla, email, ICQ....alles ganz normal.

Ich habe nun ein Virenprogramm über Alles laufen lasssen, vorher natürlich aktualisiert, und außer ein paar alte Bekannte, die sich in gelöschten Mails (nie aufgerufen worden!) tummelten, hat es nichts gefunden.

Vielleicht handelt es sich "Nur" um eine Sache, die sich im IE verstellt hat?

Ich hoffe, mir kann jemand helfen. Vielen Dank!

Ciao

Andreas

Neudi 19.12.2004 18:10

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\InterVideo\WinDVR3\SchSvr.exe
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\mozilla\bin\mozilla.exe
C:\Programme\Corel\Graphics10\Programs\photopnt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\HijackThis.exe
C:\WINDOWS\System32\winpack.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://out.true-counter.com/a/?100 about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://out.true-counter.com/a/?100 about:blank (obfuscated)
F1 - win.ini: run=msinfo.exe
O1 - Hosts: 216.194.70.15 ieautosearch
O1 - Hosts: 645238813 auto.search.msn.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int297203.exe -auto
O4 - HKLM\..\Run: [MPTBox] C:\Programme\Canon\MultiPASS4\MPTBox.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKLM\..\Run: [asdferxcv] C:\WINDOWS\System32\wjserc.exe
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\System32\wjserb.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [CorelCorelDRAW10 Reminder] "C:\Programme\Corel\Graphics10\Register\NAVBrowser.exe" /r /i "C:\Programme\Corel\Graphics10\Register\NavLoad.ini"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Microsoft Ypdate] wyamgrd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Update Service] C:\PROGRA~1\GEMEIN~1\TEKNUM~1\update.exe /startup
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [cpuinf32] C:\WINDOWS\System32\cpuinf32.exe
O4 - HKCU\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR3\SchSvr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: YExplorer1_8US.CAB - http://photos.groups.yahoo.com/ocx/u...lorer1_8us.cab
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} - http://www.searchwww.com/search.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab
O16 - DPF: {9FC5238F-12C4-454F-B1B5-74599A21DE47} (Webshots Photo Uploader) - http://community.webshots.com/html/WSPhotoUploader.CAB
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://sc.groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {C58009C0-5321-11D4-99E0-204C4F4F5020} (PhotoUploader Control (www.fotki.com)) - http://images.fotki.com/activex/PhotoUploader(www.fotki.com).cab
O16 - DPF: {C75BE5CC-7F80-458C-8B66-FAB86E3B13C3} (FotkiUploader Control) - http://images.fotki.com/activex/FotkiUploader.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O16 - DPF: {E795CA75-530A-4981-80F2-0C9EF7CF0F58} (vcload) - http://secure.goodthinxx.com/vcloadgt.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6ECAA8C-B8F0-48D0-8B08-A1473094DD75}: NameServer = 217.237.151.33 217.237.149.225
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp
O19 - User stylesheet: C:\WINDOWS\default.css (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Network Logging Provider - Unknown - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

Haui45 19.12.2004 18:26

-> http://www.trojaner-board.de/showthread.php?t=10959
Dort hab ich dir schon geantwortet.
Zitat:

Vielleicht handelt es sich "Nur" um eine Sache, die sich im IE verstellt hat?
Mit Sicherheit nicht!!!

Neudi 19.12.2004 19:48

Hilft das weiter? Ich hoffe es ist das, was ich nun posten sollte:

Sun Dec 19 13:36:42 2004 => Total Files Scanned: 191215
Sun Dec 19 13:36:42 2004 => Total Virus(es) Found: 39
Sun Dec 19 13:36:42 2004 => Total Disinfected Files: 0
Sun Dec 19 13:36:42 2004 => Total Files Renamed: 0
Sun Dec 19 13:36:42 2004 => Total Deleted Files: 0
Sun Dec 19 13:36:42 2004 => Total Errors: 19
Sun Dec 19 13:36:42 2004 => Time Elapsed: 01:30:49
Sun Dec 19 13:36:42 2004 => Virus Database Date: 2004/12/17
Sun Dec 19 13:36:42 2004 => Virus Database Count: 112674

Haui45 19.12.2004 19:51

Zitat:

Hilft das weiter? Ich hoffe es ist das, was ich nun posten sollte:
Ja das solltest du auch posten, aber trozdem brauchen wir die Namen der Viren:
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Neudi 19.12.2004 20:19

...ok, ich glaube ich habe es jetzt beisammen:) Ich bin für jeden Tipp, der nichts mit "alles Löschen" (zumindest in den nächsten Tagen/Wochen) zu tun hat...

Hier sind sie, die "Bösen":

=> File C:\WINDOWS\System32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\wjservb.exe possibly infected and removed by background antivirus package!

File C:\WINDOWS\System32\wjservb.exe infected by "BkCln.Unknown" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\wjserc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\System32\wuamgrd1.exe possibly infected and removed by background antivirus package!

C:\WINDOWS\System32\wuamgrd1.exe infected by "BkCln.Unknown" Virus. Action Taken: No Act

C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\AVPersonal\INFECTED\A0000476.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000476.EXE.VIR infected by "Trojan.Win32.StartPage.y" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0000478.EXE.VIR

File C:\Programme\AVPersonal\INFECTED\A0000478.EXE.VIR infected by "TrojanDownloader.Win32.Dluca.m" Virus. Action Taken: No Action Taken.

Scanning File C:\Programme\AVPersonal\INFECTED\A0000479.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000479.EXE.VIR infected by "Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\A0000514.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000514.EXE.VIR infected by "Worm.Win32.Sasser.a" Virus. Action Taken: No Act

C:\Programme\AVPersonal\INFECTED\A0000516.EXE.VIR

C:\Programme\AVPersonal\INFECTED\A0000516.EXE.VIR infected by "TrojanDownloader.Win32.IstBar.dx" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\avserve.VIR

C:\Programme\AVPersonal\INFECTED\avserve.VIR infected by "Worm.Win32.Sasser.a" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\bootconf.VIR

C:\Programme\AVPersonal\INFECTED\bootconf.VIR infected by "Trojan.Win32.StartPage.y" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\istsvc.VIR

C:\Programme\AVPersonal\INFECTED\istsvc.VIR infected by "TrojanDownloader.Win32.IstBar.dx" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\JGHJ.EXE.VIR

C:\Programme\AVPersonal\INFECTED\JGHJ.EXE.VIR infected by "TrojanProxy.Win32.Ranky.ao" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\mscnt.VIR

C:\Programme\AVPersonal\INFECTED\mscnt.VIR infected by "TrojanDownloader.Win32.Dluca.m" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\snlogsvc.VIR

C:\Programme\AVPersonal\INFECTED\snlogsvc.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\Programme\AVPersonal\INFECTED\WBK10.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK100F.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1016.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1052.TMP.VIR [**]

C:\Programme\AVPersonal\INFECTED\WBK1059.TMP.VIR [**]
Sun Dec 19 12:57:51 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBK1086.TMP.VIR [**]
Sun Dec 19 12:57:51 2004 => Scanning File

Neudi 19.12.2004 20:22

Und hier Teil 2 der "Bösen":



C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP92\A0007593.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP98\A0007913.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\cpuinf32.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\wjserb.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\system32\wjserc.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

C:\WINDOWS\default.css infected by "TrojanClicker.Win32.Qhost.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\tinybar.exe infected by "TrojanDownloader.Win32.IstBar.dz" Virus. Action Taken: No Action Taken.

Neudi 19.12.2004 20:24

...es gibt dann noch eine Latte Sätze, in einem Programm namens AVPersonal. Ich denke mal, es ist ein Virenprogramm und enthält lediglich das Wort "Infected", oder? Hier ein Beispiel (sind sehr viele...)

C:\Programme\AVPersonal\INFECTED\WBKF5.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF51.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF60.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF67.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File C:\Programme\AVPersonal\INFECTED\WBKF95.TMP.VIR [**]
Sun Dec 19 12:58:05 2004 => Scanning File

Haui45 19.12.2004 20:27

Ich kann dir leider keine andere Empfehlung geben, als die dein System neu aufzusetzen, denn nur so kannst du wieder einen vertrauenswürdigen Zustand herstellen.
Cidre's Rat zum formatieren
Lutz über Datensicherung
Pflichtlektüre
Entfernung von Schädlingen
Hier hat Shadowdance noch einen schönen Post zum RBot verfasst.

Neudi 19.12.2004 20:30

Hallo,
vielen Dank für den Tipp. Ich werde dies auch tun, allerdings ist es momentan nicht möglich, da ich meinen PC im Moment so brauche (ich betreibe div. Webseiten). Daher würde ich ein virtuelles Bier ausgeben, wenn Du mir einen Rat wegen dem Explorer-Problem geben könntest, bis ich diesen ultimativen Schritt vollziehen werde (in ca. 2 Wochen). Bitte...bitte...

Vielen Dank!!

Andreas

Neudi 19.12.2004 20:41

bzw. welcher der Viren könnte denn das mit dem Explorer auslösen?

Haui45 19.12.2004 20:54

Deaktiviere die Systemwiederherstellung, boote in den abgesicherten Modus und fixe folgendes:

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://out.true-counter.com/a/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://out.true-counter.com/a/?100 about:blank (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://out.true-counter.com/c/?100 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://out.true-counter.com/b/?100 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchwww.com/search.cgi?s=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://out.true-counter.com/a/?100 about:blank (obfuscated)

F1 - win.ini: run=msinfo.exe <- dürfte mit ziemlicher Sicherheit auch Malware sein (ich weiß es aber nicht)

O1 - Hosts: 216.194.70.15 ieautosearch
O1 - Hosts: 645238813 auto.search.msn.com

O4 - HKLM\..\Run: [Microsoft Inet Xp..] teekids.exe
O4 - HKLM\..\Run: [websx] C:\Programme\websx\int297203.exe -auto
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Services] C:\winread.exe
O4 - HKLM\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKLM\..\Run: [asdferxcv] C:\WINDOWS\System32\wjserc.exe
O4 - HKLM\..\Run: [asdfaa] C:\WINDOWS\System32\wjserb.exe
O4 - HKLM\..\Run: [asdfaaa] C:\WINDOWS\System32\wjservb.exe
O4 - HKCU\..\Run: [cpuinf32] C:\WINDOWS\System32\cpuinf32.exe <- dürfte Malware sein bin ich mir aber nicht sicher.
O4 - HKCU\..\Run: [Microsoft Ypdate] wyamgrd.exe
O4 - HKCU\..\Run: [winpack] C:\WINDOWS\System32\winpack.exe <- da bin ich auch nicht sicher

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

bei den O16 Einträgen die die du nicht kennst, aber mit Sicherheit folgende:
O16 - DPF: {018B7EC3-EECA-11D3-8E71-0000E82C6C0D} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v3.0/0006.cab
O16 - DPF: {086A694F-91FB-4068-B44C-124FB69BF05D} -
http://www.searchwww.com/search.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.serviceurl.de/StarInstall.ocx

O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: Network Logging Provider - Unknown - C:\WINDOWS\System32\drivers\svchost.exe (file missing)


Leere deinen AntiVir Quaratäne Ordner.
Lösche alle von eScan gefundenen Dateien und soweit nicht schon geschehen auch die O4 Dateien aus HjT.
Die Malware in der Systemwiederherstellung (z.B. C:\System Volume Information\_restore{D93FF896-00B8-44C3-84C8-3CC3523157C0}\RP92\A0007593.exe infected by "TrojanDownloader.Win32.Agent.am" Virus. Action Taken: No Action Taken.) brauchst du nicht zu löschen, die ist nach einem Neustart wieder weg.
Lösche C:\WINDOWS\web\related.htm
Leere deine Temp Files sowie deine Tifs.

Ich übernehme keinerlei Garantie dafür, dass dann alles wieder funktioniert, oder für den Fall, dass ich was vergessen hab!!!

Außerdem betone ich nochmals, dass dein System nicht mehr vertrauenswürdig ist und sofort vom Netz getrennt und neu aufgesetzt werden sollte!!!

PS: Poste dann ein neues Logfile, scanne erneut mit eScan. Gegen noch vorhandene Spyware mit Ad-Aware und Spybot Search&Destroy scannen

Shadowdance 19.12.2004 20:57

@ Neudi

Dein Rechner ist total verseucht und eine Gefahr für Dich und Deine Netzumgebung. Hier ein bisschen Info zu einem der Würmer: Backdoor.Win32.Rbot.gen-> "Erläuterung" beachten. Da gibt es nur eine Lösung: formatieren - so schnell wie möglich, um den Schaden einzugrenzen. Spion liest mit .. auf Deinem Rechner.

SD

Neudi 19.12.2004 21:00

Vielen Dank!

Haui45 19.12.2004 21:00

Zitat:

Daher geht man in den einschlägigen Kreisen verstärkt dazu über, dass der Angreifer die erste, leicht zu entdeckende Backdoor benutzt und eine zweite Backdoor (und unter Umständen noch weitere) auf dem System einrichtet, die er dann nach allen Regeln der Kunst versteckt. Selbst wenn der Anwender also die Infektion bemerkt und sein Removal-Tool den Wurm samt dessen Backdoor entfernt, behält der Angreifer über die zweite Hintertür dennoch die volle Kontrolle über das System.
Das solltest du noch wissen (http://www.mathematik.uni-marburg.de...c-removal.html)
Selbst nach der "Reinigungsaktion" dürfte sich dein System noch in fremder Hand befinden.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131