Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   fenster "Verbinden mit" erscheint beim Windows Start 3x (https://www.trojaner-board.de/12681-fenster-verbinden-erscheint-beim-windows-start-3x.html)

fmes500 24.01.2005 18:30
fenster "Verbinden mit" erscheint beim Windows Start 3x
 
Hallo, alle Wissenden und Ahnungslosen (so wie ich....)

ich habe seit einigen Tagen das Problem, daß bei mir (trotz NIS) beim Booten immer das DFÜ-Eingabe-Fenster "verbinden mit" erscheint.
Dieses erscheint sonst nur beim Doppelklick auf den IE um mich über mein DSL ins Internet zu bewegen.
Ich habe Windows ME.

Desweiteren hatte ich mehr mals eine Meldung vom NIS, daß mein Windows Explorer sich mit dem Internet verbinden möchte. Ich habe da natürlich blockiert.
Habe schon mehrfach HijackThis im abgesicheren Modus laufen lassen und auch schon einiges gefixxt.
Was kann es noch sein, evtl. der Autostart ?
Bitte helft mir .........

Cidre 24.01.2005 18:32
Hallo,

poste jetzt mal ein aktuelles HJT Log-File aber aus dem normalen Modus.

Welche Einträge hast du gefixed?

Chris14 24.01.2005 18:33
poste mal ein hijackthis log.

fmes500 24.01.2005 18:42
hier das log-file,
die bereits gefixten Teile sind mit ***** markiert !
Das ist also das log-file vor dem fixxen !!

Logfile of HijackThis v1.99.0
Scan saved at 00:50:37, on 21.01.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\CCPXYSVC.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\TEXTBRIDGE PRO 8.0\BIN\INSTANTACCESS.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\SISTRAY.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAM FILES\HJTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
****O2 - BHO: (no name) - {30861B9F-36BA-494A-A842-9E826D4FAA20} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\BIN\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\SYSTEM\SISTRAY.EXE
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\RunServices: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\BIN\REGIST~1.EXE
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security\NISUM.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
*****O16 - DPF: {D22AC3EF-B7D8-11D5-A281-005056BF0101} (plug Class) - http://dist02.chargitdial.com/chargitplug.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security2.norton.com/SSC/Shar.../bin/cabsa.cab
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
******O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
*****O18 - Filter: text/plain - {F6C0DDC9-7532-4329-8EA7-6326E1D5BD89} - (no file)

Chris14 24.01.2005 18:49
ich denke ich weiß die rätselslösung.
nämlich Microsoft Works Update Detection. der will doch nach updates für microsoft works suchen, und dafür will er ins inet.

achja..
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
deutet meines wissens auf einen trojaner hin.

also führe das aus:
-lade dir escan runter und gehe genau nach dieser anleitung vor
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues hijackthis log

fmes500 24.01.2005 18:56
Vielen dank für den Tip !!
Um die ständige Einwahl zu verhindern
Muss ich dann diesen folgenden Eintrag fixen, oder kann ich das anders lösen.
Entschuldigt, dass ich mich so blöd anstelle.....

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe

Focus 24.01.2005 19:12
Zitat:
Zitat von fmes500
Muss ich dann diesen folgenden Eintrag fixen, oder kann ich das anders lösen.
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
zuerst den eScan durchführen!

fmes500 24.01.2005 21:13
Hallo, mal wieder,

habe etwas gebraucht mit dem e-scan, dauert ja auch eine weile.
Ich bin ja entsetzt !!!
21 Viren/dialer gefunden, obwohl ich NIS-Firewall 2003 mit Abonement für dieses Jahr habe und dieses immer mit LiveUpdate aktuell habe.

Außerdem werde ich mit meinem 16-jährigen Sohn mal ein ernstes Wörtchen reden müssen (wegen der offenbar von dubiosen Seiten eingeschleppten Dialern), bzw. ich muß mehr Sicherheit einbauen in den Internetzugriff von Seiner Seite !!

Hier das Log vom e-scan:
WAS IST ZU TUN ????????

File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken
File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\msconfd.exe infected by "TrojanDropper.Win32.Small.dr" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\tcpsvcss.exe infected by "Trojan.Win32.DNSChanger.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\usrshutd.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\vwipxspnt.exe infected by "not-a-virus:AdWare.FindSpy.a" Virus. Action Taken: No Action Taken
File C:\WINDOWS\SYSTEM\w32sxp.exe infected by "Trojan-Dropper.Win32.Small.qk" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\SYSTEM\wncust.exe infected by "Trojan-Dropper.Win32.Small.ow" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action taken
File C:\WINDOWS\Downloaded Program Files\EMP_0005.exe infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\EMP_0015.EXE infected by "not-a-virus:Porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\gato.dll infected by "not-a-virus:AdWare.AdBreak" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton AntiVirus\Quarantine\2CE465F6.exe infected by "Trojan-Dropper.Win32.Small.qi" Virus. Action Taken: No Action Taken.
File C:\setup3.exe infected by "Trojan.Win32.Liech.d" Virus. Action Taken: No Action Taken.


Gruß und vielen Dank im Voraus !!!

Focus 24.01.2005 21:22
Das System muss leider als kompromittiert betrachtet werden (compromise):

Haui45 24.01.2005 21:23
Von mir bekommst du den Ratschlag, dein System neu aufzusetzen -> Anleitung

Grund:
Zitat:
File C:\WINDOWS\SYSTEM\sp2chk.exe infected by "HackTool.Win32.Hidd.c" Virus. Action Taken: No Action Taken
-> http://www.trojaner-board.de/showthread.php?t=12330


PS: Jetzt war's wieder der Sohnemann :D

fmes500 24.01.2005 22:06
Hallo,

wie kann ich denn beim Neuaufsetzen, meine Anwendungsdaten, wie z.B.
Adressenlisten für emails, meine DFÜ-Einstellungen usw. am besten sichern. Denn bei Format C:geht ja alles den Bach runter.

Ich bin jetzt glaube ich etwas konfus....

Cidre 24.01.2005 22:10
Hallo,

Adresslisten -> ausdrucken
DFÜ-Einstellung -> Screenshot machen und ausdrucken

Yopie 25.01.2005 15:40
Nicht-ausführbare Dateien kannst Du auch auf CD sichern und später wieder importieren.

Gruß :daumenhoc
Yopie


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:20 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131