Hallo,

ich habe seit gestern keine Kontrolle mehr darueber, welche Startseite in meinem IE angezeigt wird. Ich werde automatisch immer an http://ok.search.com geschickt. In der Systemsteuerung unter Internetoptionen ist diese Seite als Startseite angegeben und die Felder, mit denen ich das veraendern koennte sind grau, also nicht benutzbar. Wenn ich dann auf diese "Startseite" komme, oeffnet sich sofort ein weiteres Fenster und AntiVir springt darauf an und meint es handele sich um die Trojanischen Pferde "TR/Nocheat.1" - "TR/Nocheat.5" (alle von 1-5)

Ausserdem sind laut portscan die ports 1025 (blackjack) und 5000 offen.

Kann mir jemand helfen / tipps geben?

Gruß und Dank im Voraus!

Hallo,

willkommen im Trojaner-Board!
Zur (entfernung der) Adware lies hier:
http://spotlight.de/zforen/sec/m/sec...262-25450.html

Was die offenen Ports betrifft: Betriebssystem Windows XP?

Windows XP

Und danke fuer den Tip!

Ich habe ADWare 6.0 laufen und das hilft leider nicht weiter :-(

Habe mich gerade auf den Seiten schlau gemacht. Es handelt sich wohl tatsaechlich um einen Trojaner. Siehe: http://www.spywareinfo.com/articles/cws/

[ 05. August 2003, 10:34: Beitrag editiert von: MW ]

Wie gehe ich denn mit den offenen Ports um? Und fuer diesen be*****en Trojaner gibt es anscheinend noch keine Hilfe. Kann denn jemand helfen?

Viele Gruesse und Dank im Voraus!

Das hier schreibt übrigens TrojanCheck 6.0 in seinem Report. Der für mich leider Chinesisch erscheint:

Registry - Standardeinträge
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE C:\WINDOWS\System32\ctfmon.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run SystemTray SysTray.Exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run AVGCtrl C:\Programme\AVPersonal\AVGNT.EXE /min
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Iomega Startup Options C:\Programme\Iomega\Common\ImgStart.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Iomega Drive Icons C:\Programme\Iomega\DriveIcons\ImgIcon.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run Corel Reminder
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run NeroCheck C:\WINDOWS\system32\NeroCheck.exe
HKEY_LOCAL_MACHINE Software\Microsoft\Windows\CurrentVersion\Run TkBellExe "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot


Top

Registry - Shell Spawning
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CLASSES_ROOT \exefile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \comfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \batfile\shell\open\command "%1" %*
HKEY_CLASSES_ROOT \htafile\Shell\open\Command C:\WINDOWS\System32\mshta.exe "%1" %*
HKEY_CLASSES_ROOT \piffile\shell\open\command "%1" %*


Top

Registry - Active Setup
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS StubPath RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} StubPath
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{22d6f312-b0f6-11d0-94ab-0080c74c7e95} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\mplayer2.inf,PerUserStub.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{2C7339CF-2B09-4501-B3F3-F3508C9228ED} StubPath %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{5945c046-1e7d-11d1-bc44-00c04fd912be} StubPath rundll32.exe advpack.dll,LaunchINFSection %SystemRoot%\INF\msmsgs.inf,BLC.Install.PerUser
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6} StubPath rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02} StubPath "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4340} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4383} StubPath %SystemRoot%\System32\ie4uinit.exe
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{89820200-ECBD-11cf-8B85-00AA005B4395} StubPath regsvr32.exe /s /n /i:U shell32.dll
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} StubPath %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{ACC563BC-4266-43f0-B6ED-9D38C4202C7E} StubPath rundll32 iesetup.dll,IEAccessUserInst
HKEY_LOCAL_MACHINE \Software\Microsoft\Active Setup\Installed Components\{CA0A4247-44BE-11d1-A005-00805F8ABE06} StubPath RunDLL setupx.dll,InstallHinfSection PowerCfg.user 0 powercfg.inf


Top

Registry - Virtuelle Gerätetreiber (VxD)
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_LOCAL_MACHINE \System\CurrentControlSet\Services\VxD\JAVASUP StaticVxD JAVASUP.VXD


Top

Registry - ICQ Net
Hauptschlüssel
(Rootkey) Schlüssel Wert Inhalt
HKEY_CURRENT_USER \Software\Mirabilis\ICQ\Agent\Apps Launch Browser Yes


Top

Autostart - Standardeinträge
Pfad Dateiname Link zu
C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\Autostart\ PowerReg SchedulerV2.exe PowerReg SchedulerV2.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ desktop.ini desktop.ini
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ Watch.lnk C:\WINDOWS\TWAIN_32\S6U12BX\WATCH.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ AOL 7.0 Tray-Symbol.lnk.disabled AOL 7.0 Tray-Symbol.lnk.disabled
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ ZoneAlarm.lnk C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe


Top

INI Dateien
Dateiname Wert Inhalt
C:\WINDOWS\win.ini load
C:\WINDOWS\system.ini shell Explorer.exe


Top

Batch und Text Dateien
Dateiname Inhalt
c:\msdos.sys [Paths]
WinDir=C:\WINDOWS
WinBootDir=C:\WINDOWS
HostWinBootDrv=C

[Options]
BootMulti=1
BootGUI=1
AutoScan=1
WinVer=4.90.3000
;
;The following lines are required for compatibility with other programs.
;Do not remove them (MSDOS.SYS needs to be >1024 bytes).
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxa
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxb
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxc
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxe
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxf
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxg
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxh
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxi
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxj
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxk
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxl
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxm
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxn
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxo
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxp
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxq
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxr
;xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxs


C:\WINDOWS\winstart.bat @C:\WINDOWS\tmpcpyis.bat

c:\autoexec.bat SET windir=C:\WINDOWS
SET winbootdir=C:\WINDOWS
SET COMSPEC=C:\WINDOWS\COMMAND.COM
SET PATH=C:\WINDOWS;C:\WINDOWS\COMMAND
SET PROMPT=$p$g
SET TEMP=C:\WINDOWS\TEMP
SET TMP=C:\WINDOWS\TEMP

c:\config.sys Kein Inhalt
C:\WINDOWS\wininit.ini [rename]
NUL=C:\WINDOWS\CLEAR.DEX
NUL=C:\WINDOWS\AVM_cpdi.clr
[Rename]
NUL=c:\windows\system\capi2032.dll

Hi,
hast du mal Spybot aus deinem o-g- Link probiert ?
Was ergibt ein komplettscan mit AVPE oder TrendMicro-Online ?

Vielen Dank für deine Mühen erstmal!

Ich habe Sowohl Spybot, als auch Antivirus, als auch AdAware laufen lassen. Keines findet oder beseitigt den Grund warum ich meine Startseite im IE nicht ändern kann. Ich werde jetzt auch noch mal Trend Micro probieren. Aber ich habe die Befürchtung, dass es sich um einen ziemlich neuen Trojaner handelt (siehe mein Link oben), für den es noch keine "Heilmöglichkeiten" gibt. Auf diesem link gibt es zwar eine vorgeschlagene Methode, wie man den Trojaner "eventuell" loswerden könnte, aber die Gefahr besteht, dass man danach die Festplatte formatieren muss. Also werde ich tunlichst die Finger davon lassen.

Viele Grüße

du könntest dir Kaspersky-Trial ( www.datsec.de ) ohne ControlCenter/SCriptchecker installieren; updaten nicht vergessen.
oder www.ravantivirus.com ; deren OnlineScanner hat auch ne sehr gute Erkennung für gepackte Malware..

Ansonsten vielleicht mal den Startup-Viewer von DiamondCs installieren, der zeigt etwas mehr StartMöglichkeiten auf als TrojanCheck

oder mal die registry nach der o.g. IE-Startseite durchforsten.. ;)

oder mal die dir unbekannten Sachen aus dem TC-Report durch googlen aufklären..

@MW:
</font><blockquote>Zitat:</font><hr />Original erstellt von MW:
Wie gehe ich denn mit den offenen Ports um?</font>[/QUOTE]Siehe http://kssysteme.de

</font><blockquote>Zitat:</font><hr />Original erstellt von MW:
Und fuer diesen be*****en Trojaner gibt es anscheinend noch keine Hilfe. Kann denn jemand helfen?</font>[/QUOTE]Wie den von mir verlinkten Seiten zu entnehmen, lässt sich diese Malware gemäß Anleitung auch entfernen. Folge dieser doch einfach mal. Oder gibt es unerwartet Probleme dabei? Woran hakt es im Detail? Schon mal ausprobiert?

Adaware und Spybot kannst du derzeit noch so oft anwerfen - sie können diese Malware (noch) nicht entfernen. Also muss es zu Fuß gehen (wie beschrieben).