|
Hallo zusammen, Laut Kaperskys Antivirus Service ist die Datei pkiggb.dll im System32-Verzeichnis meines WindowsXP der Trojaner "Trojan.Win32.StartPage.gv". Den Trojaner hab ich in diverse Foren, etc. schon mit allen möglichen Endungen gefunden nur nicht mit der Endung *.gv . Spybot, Adaware, HiJackthis und der neuste CWS-Shredder haben ihn zwar gelöscht, beim nächsten Systemstart war er aber wieder da. HiJackThis spuckt mir folgendes aus: Logfile of HijackThis v1.97.7 Scan saved at 17:58:48, on 07.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpHost.exe C:\WINDOWS\system32\ntvdm.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Spybot - Search & Destroy\SpybotSD.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\YAHOO!\MESSEN~1\ymsgr_tray.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPZSTC07.EXE E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\pkiggb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {0C35E395-AA5D-48E0-9FE1-D844F6A52512} - C:\WINDOWS\System32\pkiggb.dll O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing) O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [LVCOMS] C:\WINDOWS\System32\LVCOMS.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129 ---------------- Alle Einträge mit der pkiggb.dll hab ich gefixt...hab ich da sonst noch was übersehen? Weiß jemand Rat, wie ich das Teufelszeug wieder von meinem Rechner runterbekomm? Viele Grüße LeBensch |
Hallo LeBensch und Willkommen im Board, dass 'deine' Variante mit der Endung *.gv noch nicht zu ergooglen ist, liegt imho daran, dass es sich um eine ganz frische Variante handelt. Zu den zu fixenden Einträgen gehören auch diese: </font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank </font>[/QUOTE]Allerdings ist diesem Hijacker 'per Knopfdruck' noch nicht beizukommen. Lies dir hier bitte mal mein Post vom 05. Mai 2004 09:11 durch und führe die Schritte aus. |
Hallo, ich krieg hier echt noch die Krise.... ich versuche nun schon seit Stunden diesen SCH****-Trojaner wegzubekommen, aber dieser erweist sich als ziemlich hartnäckig. Lutz, ich hab das andere Posting durchforstet und alles mal ausprobiert...ohne Erfolg... Aber meine neueste Erkenntnis ist folgende: die Datei pkiggb.dll ist jetzt auf einmal die Datei afmg.dll (Beide im System32-Ordner), also der Trojaner sitzt jetzt dort ;o) Was mach ich nur, was mach ich nur?! |
Kurze Rückfragen: Hast Du die Systemwiederherstellung vor den Reinigungsversuchen deaktiviert? Hast Du den Rechner im abgesicherten Modus gestartet, als Du die Reinigung versucht hast? Hast Du die 'xfind-Variante' auch ausgeführt? Wenn ja, wird Dir eine dll in der Datei files.txt angezeigt? Das die DLL jedesmal anders heißt ist 'normal', das ist der 'Trick' dieses Hijackers. Poste doch bitte noch einmal ein aktuelles Log von HijackThis. |
Hallo, Systemwiederherstellung ist bei mir standardmäßig immer deaktiviert. Hab die Reinigungsversuche im abgesicherten Modus durchgeführt und auch die xfind-Variante ausprobiert (sofern das kleine Progrämmlein unter Find-all.zip das richtige war) Angezeigt wurde eine Datei namens ctlb.dll im System32-Ordner(file read error) die ich zwar manuell im System32-Ordner nicht gefunden habe, die killbox konnte diese aber wohl löschen... ...und hier noch das aktuelle HiJackThis Logfile Logfile of HijackThis v1.97.7 Scan saved at 21:04:46, on 08.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\GoZilla\Go.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing) O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll O2 - BHO: (no name) - {E1E20964-8FB7-474D-B75B-FB44273F82C5} - C:\WINDOWS\System32\afmg.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129 Viele Grüße LeBensch |
</font><blockquote>Zitat:</font><hr />... die killbox konnte diese aber wohl löschen.. </font>[/QUOTE]Das kann durchaus ein Trugschluß sein. Hast Du mal die Wiederherstellungskonsole gestartet und damit geschaut, ob die dll wirklich gelöscht wurde? Nachtrag- Bei einem erneuten Versuch muss folgendes gefixt werden: </font><blockquote>Zitat:</font><hr /> R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\afmg.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {24F70112-461F-44FF-99E1-AFF40590FC2A} - C:\WINDOWS\System32\ehbcm.dll (file missing) O2 - BHO: (no name) - {E1E20964-8FB7-474D-B75B-FB44273F82C5} - C:\WINDOWS\System32\afmg.dll </font>[/QUOTE] [ 08. Mai 2004, 21:50: Beitrag editiert von: Lutz (DerBilk) ] |
Lutz, du bist ein Schatz. Ich denke, nein ich glaube, nein ich hoffe, dass ich ihn nun endlich los habe...nach mehreren Neustarts war der trojanische Freund nicht mehr da, die Startseite des IE ist wieder ne leere Seite und HiJackThis findet, soweit ich das sehe, auch nix mehr... ...hier das aktuell logfile: Logfile of HijackThis v1.97.7 Scan saved at 23:37:01, on 08.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe C:\WINDOWS\system32\ntvdm.exe E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab Danke, Danke, Danke [img]smile.gif[/img] Viele Grüßles LeBensch |
...ah übrigens: wie krieg ich jetzt die Wiederherstellungskonsole weg, sodass ich nicht bei jedem Systemstart entscheiden muss, ob ich nun windoof oder die wiederherstellungskonsole starten will? |
Hmmmmm.....also so ganz sicher bin ich mir nun doch net...beim ersten Systemstart heute, hatte ich wieder diese komische Seite im IE...und HiJackThis zeigt folgendes an (man beachte die mrhop.dll): Logfile of HijackThis v1.97.7 Scan saved at 14:02:54, on 09.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\Winamp\Winampa.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\WINDOWS\Twain_32\SlimU2\HotKey.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\ctfmon.exe C:\windows\winlogon.exe C:\Programme\Telekom\Eumex 504PC SE\Capictrl.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\Programme\Outlook Express\msimn.exe C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Benji\Antivirenprogramme\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.t-online.de/service/redir/tosw4_start.htm O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {CD4C3CF0-4B15-11D1-ABED-709549C10000} - C:\Programme\GoZilla\GoIEHlp.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Go!Zilla dial-up fix] "C:\Programme\GoZilla\Go.exe" /FIXRAS O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Outpost Firewall] C:\PROGRA~1\AGNITUM\OUTPOS~1.0\outpost.exe /waitservice O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINDOWS\p_981116.exe /Q:A O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe O4 - Startup: VollKonkret.exe.lnk = E:\Benji\Anwendungen\VollKonkret\VollKonkret.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{ACE6F132-7A0E-478A-9835-22AE99AA835B}: NameServer = 217.237.151.161 194.25.2.129 Die mrhop.dll find ich auch im system32-Ordner nicht...HiJackThis zeigt sie aber an. Aber seither macht sich der Trojaner nicht mehr bemerkbar und xfind findet sowohl im abgesicherten Modus, als auch im normalen Modus keine Datei mehr....komisch komisch...mal abwarten... Grüßles LeBensch |
Hallo LeBensch, du 'siehst' mich etwas ratlos... :confused: Ich dachte, wir wären auf dem richtigen Weg. Hast Du diesen Scanner schon einmal über den Rechner gejagt? eScan Bzw, kommen die Einträge jetzt auch wieder, wenn Du sie jetzt noch einmal fixt? </font><blockquote>Zitat:</font><hr />...ah übrigens: wie krieg ich jetzt die Wiederherstellungskonsole weg, sodass ich nicht bei jedem Systemstart entscheiden muss, ob ich nun windoof oder die wiederherstellungskonsole starten will?</font>[/QUOTE]Ich würde die Wiederherstellungskonsole drauf lassen und die Auswahl im Bootmanager so ändern, dass das 'normale' XP an erster Stelle steht und evtl. den Countdown von Standard 30 Sekunden auf einen geringeren Wert (5 Sek. ?) ändern. Nachtrag: </font><blockquote>Zitat:</font><hr />O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab </font>[/QUOTE]Den Eintrag solltest Du auch noch fixen. SpywareBlaster erkennt das als FunWebProducts, was auch immer damit genau gemeint sein mag. [ 09. Mai 2004, 19:58: Beitrag editiert von: Lutz (DerBilk) ] |
...und ich habe keine Antwort auf folgendes: Der Trojaner ist weg!!! Heute kommt weder diese ominöse Startseite, noch findet HiJackThis irgendeine verdächtige DLL...und ich weiß nicht, was ich seit gestern morgen geändert habe...sehr komisch...aber Hauptsache das Ding ist weg. [img]smile.gif[/img] Dieser Eintrag: -------------------------------------------------------------------------------- O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...tup1.0.0.8.cab -------------------------------------------------------------------------------- gehört zu so ner Smilypalette vom YahooMessi...also nix ungewolltes. Wie stell ich denn den Countdown beim Booten auf 5 Sek? Also fassen wir zusammen für alle, die vom selben Trojaner befallen werden sollten: Xfind runterladen - Wiederherstellungskonsole installieren - im abgesicherten Modus starten - xfind drüber laufen lassen - von xfind gefundene DLL mit der Wiederherstellungskonsole löschen (falls sich da was dagegen sträubt, dann zuerst umbenennen und dann löschen) - danach HiJackThis nochmal drüber jagen und alle verdächtigen DLLs löschen - fertig Hab ich was vergessen?` Viele Grüßles und Danke nochmal, Lutz LeBensch |
Fangen wir mit dem Einfachen an: </font><blockquote>Zitat:</font><hr />Wie stell ich denn den Countdown beim Booten auf 5 Sek?</font>[/QUOTE]Rechtsklick auf Arbeitsplatz -> Eigenschaften dort unter Starten und Wiederherstellen -> Einstellungen. Unter Standardbetriebssystem kannst Du auswählen, ob das 'normale XP' oder die 'XP-Wiederherstellungskonsole' als Standard definiert sein soll. Darunter gibt es eine Klickbox mit dem Titel 'Anzeigedauer der betriebssystemliste' und ein Feld, in den Du einen Wert in Sekunden angeben kannst. Hier musst Du nur die Klickbox aktivieren und den gewünschten Wert (bspw. 5 Sek.) eingeben. Deine Zusammenfassung ist im Grunde genau richtig. [img]graemlins/daumenhoch.gif[/img] Es gibt allerdings vermehrt Berichte, wonach die dll auch dann immer noch nicht endgültig weg ist, bzw. unter einem neuen Namen erneut erstellt wird. Ich hoffe für Dich, dass Du das Problem wirklich endgültig los bist. Aber meine Hand würde ich dafür zur Zeit nicht in's Feuer legen... |
So...Tag 2 nach der Trojanerbereinigung und ich kann, denke ich, mit ziemlicher Sicherheit sagen, dass mein System trojanerfrei ist. Mission geglückt sozusagen...HiJackthis findet nix mehr und es kommen auch keine ungewollten Seiten mehr im IE...Vielen Dank nochmal Lutz [img]redface.gif[/img] ) Viele Grüßles Benji |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:56 Uhr. |
Copyright ©2000-2025, Trojaner-Board