Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ... und wieder casinopalazzo (https://www.trojaner-board.de/1732-casinopalazzo.html)

ross 17.06.2004 22:35
Alles schon bekannt

- Ikon auf Desktop
- Webseite casinopalazzo wird automatisch aufgerufen
- ohne dass man im Intenet ist
- steht der Computer eingeschaltet findet man nach 2 Stunden x-mal die Seite von casinipalazzo.com geöffnet
- man wird zu einem Download aufgefordet "index.php"
- die Startseite wird auf easy-search.biz fixiert
- die eingestellte LAN Verbindung wird auf einen Proxyserver 127.0.01 - Port 8080 umgestellt


Logfile of HijackThis v1.97.7
Scan saved at 16:12:48, on 16.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\DJSNETCN.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\PROGRAMME\DIAMOND\INCONTROL TOOLS 99\DMHKEY.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\NMAIN.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\SPAYBOOT\HJT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRAMME\LAVASOFT\AD-AWARE 6\AD-AWARE.EXE" +c
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Startup: InControl Desktop Manager.lnk = C:\Programme\Diamond\InControl Tools 99\DMHKEY.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...154.1250694444
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129

Muss mich ganz viel ärgern, da ich recht hilflos dem gegenüber stehe.

Bitte um Hilfe - dankede Grüße von ross.

[ 19. Juni 2004, 13:13: Beitrag editiert von: ross ]

rock 18.06.2004 11:23
Diese einträge fixen! (fix checked)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\KGCLKA.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local

kannst du diese sachen mal prüfen:
http://www.kaspersky.com/de/remoteviruschk.html
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe

den eintrag mit F1 kenn ich nicht. (leider)

Browser schliesen und
temp.internetfiles incl.offlineinhalte löschen, Ordner TEMP leeren!! papierkorb leeren!

PC neustarten in den abgesicherten modus
anschliesend mit norton fullscan!

dann wieder melden, werd aber schon schlafen ;)
(sorry)
hoffe es wird wer vorbeischauen können.

gruss
rock [img]smile.gif[/img]

[ 18. Juni 2004, 00:29: Beitrag editiert von: rock' ]

ross 18.06.2004 21:32
Hi rock - und alle

vielen Dank für Deine Hilfe.

Hab alles wie beschrieben gemacht - kein Erfolg! :confused:

Nachdem die Zeilen entsprechend gefixt wurden und die weiteren Temp... geleert wurden ist der Logfile wieder wie vorher mit all seinen Einträgen. Also wenn ich am Ende Deiner Punkte bin,ist der Anfang wieder der "Alte".

Kasparsky hat die Dateien "runwin32.exe" und "wininet32.exe" als schädlich definiert - die Dateien lassen sich aber nicht löschen. [img]graemlins/heulen.gif[/img]

Im Verzeichnis Temporary Internet File wird immer ein Unterordner "Content.IE5" erstellt. Wollte dessen Inhalt mit Kaspersky prüfen, doch in dessem Fenster ist der Unterordner gar nicht existent.

Vermutlich sind die Dateien runwin32.exe und wininet32.exe verantwortlich - aber wie löschen wenn dies nicht geht?

"dialup.exe" ein Target Dialer wird trotz Löschens immer wieder unter C:\windows\dialup.exe installiert und ist auch wahrscheinlich für das Icon auf dem Desktop verantwortlich.

Mit dem ClearProg Programm 1.4.1 Beta 1 von Sven Hoffmann werden alle "Spuren" aus einer Internetsitzung gelöscht, trotz mehrmaliger Anwendung hintereinander sind immer wieder Dateien im "Cache IE" zu löschen!

Bitte um Hilfe - Danke.

Grüße von ross :confused:

Lutz 18.06.2004 21:56
Hallo ross,

hast Du schon mal die neueste Version 1.59.0 vom CWShredder benutzt? Der sollte diese Variante mittlerweile entfernen können.

rock 19.06.2004 00:19
hey ross,

browser schliesen.
mit rechtsklick auf dein blaues Explorersymbol am desktop klicken, dann eigenschaften, da öffnet sich ein fenster - in der mitte kannst du daten löschen licken. da öffnet sich ein weiteres fenster was dich fragt ob du die offlineinhalte auch löschen willst. da auch JA/OK klicken! denn was du da dann löscht, ist das was in den IE unterordnern Content IE5 liegt! (die ordner sind schon okey, die gehören da hin) bei der gelegenheit gleich cookis und verlauf mitlöschen!! (musst dich hier halt dann nochmals einloggen)

also mit norton im abgesichertem modus wird wirklich NICHTS gefunden???
das wäre blöd, weil die beiden dateien die kaspersky bemängelt werden wahrscheinlich backdoors sein nehm ich mal an - sofern's mit dem/n dialer/n nix zu tun haben...
und die sind aktiv, daher so nicht löschbar...
was meldete denn kaspersky überhaupt bei den beiden exen??? (wenn norton echt die beiden nicht erkennt, haben wir ein weiteres trouble...

schau mal in den taskmanager ob du da drin diese anwendungen siehst, dann beende sie.
runwin32.exe
wininet32.exe

und diesen eintrag doch fixen! das könnte der dialer sein!
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe

dann dafür das tool welches dir lutz vorschlägt auch anwenden.

besten gruss
rock

edit: windows update!

[ 19. Juni 2004, 01:36: Beitrag editiert von: rock' ]

ross 19.06.2004 12:12
Jetzt geht nichts mehr! :confused:

Habe den CWShredder 1.59.0 laufen lassen - hat das Problem nicht behoben.

Habe dann Updates von MS abgeholt. Jetzt stürzt beim Hochfahren das System ab.

Es erscheint C:\windows\wininit.exe und danach ist Feierabend!

Habe versucht über die DOS Ebene wininit.exe zu löschen - die Datei wird gar nicht angezeigt oder sie wird erst beim hochfahren erzeugt!

Hilfe - was kann ich noch machen [img]graemlins/headbang.gif[/img]

Danke und Grüsse von ross

[ 19. Juni 2004, 18:11: Beitrag editiert von: ross ]

ross 22.06.2004 18:08
Alles wieder IO [img]graemlins/heilig.gif[/img]

Habe W98 darüber gefahren, Updates geholt und das Problem ist gelöst

ca. 3/4 Std. Arbeit die sich lohnt.

Also an alle Helfer - Vielen Dank.

Grüsse von ross


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131