Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekmpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Die aktuelle Trojaner-Lage - bin hilflos (https://www.trojaner-board.de/2428-aktuelle-trojaner-lage-hilflos.html)

Kruzifix 07.05.2004 20:26

Hi!
Ich bin neu hier und auf der Suche nach einer Lsung auf die Seite gestoen, deren Mitglieder ja hier offensichtlich doch so ziemlich den Plan haben.

Vorweg: Ich habe die Suchfunktion bereits benutzt, finde jedoch nicht die fr mich richtigen Informationen.

Gerade eben wollte ich die sehr ausfhrlich und verstndlich geschriebene Anleitung zur Entfernung des m. E. grassierenden Trojaners "CoolWebSearch" durcharbeiten - bleibe jedoch bereits bei Schritt 4 mit der Suche nach 61c00000 61440" hngen, da diese Datei nicht gefunden wird.

Nun hab ich gerade eben nochmal ein Browserfenster aufgemacht: die Startseite lautet "allaboutsearching.com". Hat das damit auch etwas zu tun oder ist das ein vllig anderes Problem?

Weiterhin habe ich festgestellt, dass die Prozessorauslastung deutlich hher ist, als normal. Hngt das damit zusammen`?

Beim Prfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/lschen kann.

Wre echt klasse, wenn sich einer der "Checker" hier mal meines Problems annehmen knnte - wieder merke ich, dass ich von PC nahezu keine Ahnung habe!

Doch - ein bisschen... aber eben nicht genug. Bin mir sicher, dass ich aus meinem Bekanntenkreis dann den ein oder anderen Problemfall guten Gewissens hierher empfehlen kann...

Kompliment an die Macher!

Herzlichen Gru - Kruzifix


EDIT: Hab grad bemerkt, dass ich das LogFile von HiJackThis nicht gepostet habe... dort finde ich auch einen entsprechenden Eintrag mit dieser Startseite... aber wie gehe ich weiter vor?

Logfile of HijackThis v1.97.7
Scan saved at 21:31:59, on 07.05.2004
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\htpatch.exe
C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
D:\NORTON~1\NORTON~4\GHOSTS~2.EXE
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\navapsvc.exe
D:\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\TDSL-SPEED-MANAGER\tsmsvc.exe
D:\NORTON SYSTEM-WORKS 2004\Norton Antivirus\SAVScan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\explorer.exe
G:\AusFreshDownloads\Unsortiert\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home
F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE
O1 - Hosts: LHLHHHHH*H*HHHHHHHHHHHHHvHvHHHHHHHHH HHHHH*H*HHHHHHHHHHHHHHHHHHHHHHH
O1 - Hosts: HHH*H*HHHHHHHHHHHHHHHHHHHHHHH
O1 - Hosts: NHH
O1 - Hosts: www.look2me1.com
O1 - Hosts: A[x[ www.look2me2.com
O1 - Hosts: C[x[ www.look2me3.com
O1 - Hosts: E[x[ www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: L[L[[[[[*[*[[[[[ [ [[[[[[[[[[[[[[[[[ [[[[[*[*[[[[[[[[[[[[[[[[[[[[[[[
O1 - Hosts: [[[*[*[[[[[[[[[[[[[[[[[[[[[[[
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "D:\TDSL-S~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "D:\TWEAK-XP-DEMO UpdateTo Full\AdBlocker.exe"
O4 - Global Startup: ZoneAlarm Pro.lnk = D:\ZONE-ALARM-PRO\ZoneAlarm\zapro.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Toolbars\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MSOFFI~1\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: WebSpeech (HKLM)
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.co...043.3895138889
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242

[ 07. Mai 2004, 21:35: Beitrag editiert von: Kruzifix ]

Virenscanner 08.05.2004 00:10

Mich wrde mal interessieren, was das ist:
</font><blockquote>Zitat:</font><hr />
O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe
</font>[/QUOTE]Ausserdem wrde ich mir die (Programm-)Eigenschaften der Datei "C:\WINDOWS\system32\wuauclt.exe" ansehen, ob es sich wirklich um den Microsoft Auto Update Client handelt.


@Olo
Was strt Dich an "NeroCheck.exe"?

[ 08. Mai 2004, 01:25: Beitrag editiert von: Virenscanner ]

Kruzifix 08.05.2004 05:00

Wow - htte auf keinen Fall so schnell mit einer Antwort gerechnet... doch nun muss ich leider zur Frhschicht und kann mich dem Problem erst heute Nachmittag widmen... vorab schonmal ein einfaches, aber lautes DANKE!

-------------------------------------------------
"... kann alles raus ..."
-------------------------------------------------

Sorry, wenn ich mich jetzt als computerdoofi oute: einfach lschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus?

Ich nehme an, solche Anfngerfragen nerven...
aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfnger war.

-------------------------------------------------
"... dann die registry danach durchsuchen und mgliche eintrge entfernen ( vorher sichern!)..."
-------------------------------------------------

da such ich doch ewig, oder? gibts da irgendwie ne einfachere lsung... oder sucht die normale windows-suchfunktion auch in der registry?

-------------------------------------------------
"...sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen.
am ende dann nochmal ein aktuelles log posten..."
-------------------------------------------------

hab ich beide in aktueller version drauf - haben mir nur bei DIESEM problem nicht weitergeholfen. irgendwie scheint das teil sich ziemlich festgesetzt zu haben...

-------------------------------------------------
"...gute nacht
thomas"
-------------------------------------------------

Tja, da bleibt mir nichts anderes brig, als GUTEN MORGEN und DANKE zu sagen. Erstmal. So, wie ich mich kenne, melde ich mich bestimmt bald wieder, weil ich irgendwas nicht auf die Reihe kriege...

Herzlichen Gru - Roland

Olo 08.05.2004 11:17

Also die Sache mit dem yellow-page und coolwebsearch sieht glaub ich anders aus

Naja ich hab hier erstma n paar Sachen die solltest du sowieso machen Am ende dann nochmal n neues log posten dann kann jemand andres ma drber schaun der sich grad mit diesem einen beschftigt


</font><blockquote>Zitat:</font><hr />0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://allaboutsearching.com/passthr..._PVER}&ar=home
F1 - win.ini: run=C:\WINDOWS\miro\COMMON\PINBOARD.EXE
O1 - Hosts: LHLH?H?H?H?H H HHHHHHHHHHHHHvHvHHHHHHHHH ?H?H?H?H?H H HHHHHHHHHHHHHHHHHHHHHHH
O1 - Hosts: ?H?H?H H HHHHHHHHHHHHHHHHHHHHHHH
O1 - Hosts: NH?H
O1 - Hosts: www.look2me1.com
O1 - Hosts: A[x[ www.look2me2.com
O1 - Hosts: C[x[ www.look2me3.com
O1 - Hosts: E[x[ www.look2me4.com
O1 - Hosts: www.look2me5.com
O1 - Hosts: L[L[?[?[?[?[ [ [[[[[ ?[ ?[[[[[[[[[[[[[[[[[ ?[?[?[?[?[ [ [[[[[[[[[[[[[[[[[[[[[[[
O1 - Hosts: ?[?[?[ [ [[[[[[[[[[[[[[[[[?[?[[[[[
</font>[/QUOTE]kann alles raus ( also im abgesicherten modus)

C:\WINDOWS\miro\COMMON\PINBOARD.EXE den Pfad solltest du mal berprfen also was da noch alles drin ist. gehrt sich er nicht ins windows verzeichnis


</font><blockquote>Zitat:</font><hr /> O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/02e29a43...dxIE601_de.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/DS3/DS3.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
</font>[/QUOTE]sofern die nicht gewollt sind auch fixen ( wieder im abgesichtern modus)

</font><blockquote>Zitat:</font><hr /> O17 - HKLM\System\CCS\Services\Tcpip\..\{DA34D3EF-2205-4E26-AF3E-0D28A4324A18}: NameServer = 83.120.6.30 217.9.110.242 </font>[/QUOTE]bei dem bin ich mir nicht sicher kann wahrscheinlich auch raus...

</font><blockquote>Zitat:</font><hr />Beim Prfen mittels Norton werden die Dateien "bi.dll" (2x) und "biprep.exe" (1x) gefunden, welche ich jedoch nicht entfernen/lschen kann. </font>[/QUOTE]die beiden files nochmal seperat mit einem scanner berprfen
dann die registry danach durchsuchen und mgliche eintrge entfernen ( vorher sichern!)

sonst kann ich dir noch raten die hier oft angesprochenen tools wie adaware/spybot usw zu installieren upzudaten und laufen zu lassen.
am ende dann nochmal ein aktuelles log posten


nachtrag :
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

bitte auch fixen


gute nacht
thomas

[ 08. Mai 2004, 00:26: Beitrag editiert von: Olo ]

Olo 08.05.2004 13:11

</font><blockquote>Zitat:</font><hr /> @Olo
Was strt Dich an "NeroCheck.exe"? </font>[/QUOTE]hmm hab mich da wohl vertan.


</font><blockquote>Zitat:</font><hr /> Sorry, wenn ich mich jetzt als computerdoofi oute: einfach lschen? Wie und wo? Mit Hilfe von HiJackThis? Im abgesicherten Modus?
</font>[/QUOTE]Also ersteinmal den PC im abgesicherten Modus hochfahren ( beim starten f8 drcken und dann dort abgesicherten modus auswhlen)
Einfach lschen mit HJT? ja im grunde schon nur solltest du vorher schauen ob die eintrge auf irgendwelche dateien verweisen die musst du dann danach noch per hand entfernen
wenn sich eine der dateien nicht lschen lsst dann mal per strg+alt+entf im taskmanager schauen ob sie unter den prozessen auftaucht, wenn ja beenden dann msste man sie entfernen knnen


</font><blockquote>Zitat:</font><hr /> da such ich doch ewig, oder? gibts da irgendwie ne einfachere lsung... oder sucht die normale windows-suchfunktion auch in der registry?
</font>[/QUOTE]mehr oder weniger ja. erstmal registry ffnen ( start-&gt;ausfhren-&gt;regedit) jetzt siehst du ein fenster hnlich dem explorer hier kannst du auch mit strg+f die suchfunktion aufrufen und damit wie gewohnt nach den bestimmten dateien suchen. sobald du was gefunden hast exportiere erst einmal den eintrag (registrierung-&gt;registrierungsdatei exportieren) damit du sie nachher falls ntig wieder herstellen kannst. dann die eintrge lschen.


</font><blockquote>Zitat:</font><hr /> Mich wrde mal interessieren, was das ist:

Zitat:

O4 - HKLM\..\Run: [MATH REMOTE] C:\PROGRA~1\SURFWA~1\EQ CHIN.exe

</font>[/QUOTE]nichts was da hingehrt denke ich habs gestern nacht bersehen


</font><blockquote>Zitat:</font><hr /> Ich nehme an, solche Anfngerfragen nerven...
aber ich hoffe, man hat im Hinterkopf, dass jeder mal Anfnger war. </font>[/QUOTE]Ich wei nicht wies den anderen geht aber ich gehre meiner meinung nach selbst noch zu den Anfngern hier.. bin ja erst seit 2 wochen registriert hier im Board..
Aber ich muss sagen das du dir schon viel mhe mit dem Problem gemacht hast und dich auch schon hier im Board umgeschaut hast (siehe HJT log), was viele andere nicht machen. und ich muss sagen das strt einen natrlich umso mehr wenn sich jemand nur mit "hilfe ich glaub ich habn virus was muss ich tun???????" meldet, im gegensatz zu deinem post hier ;) da ist man gleich viel bereiter zu helfen [img]smile.gif[/img]

Kruzifix 08.05.2004 20:27

Servus, Thomas!

Erstmal vielen Dank fr das Kompliment - aber das rhrt einfach daher, dass ich mit meinem anderen Hobby auch relativ viel in einem Forum unterwegs bin und dort schon zu den lteren Hasen zhle. Ich kann das sehr gut nachvollziehen und bemhe mich deswegen halt einfach ein bisschen. Ist ja auch nicht schwer...

Zum Thema zurck:

Bin grad leider auf Arbeit und kann mich somit nicht um "mein" Problem daheim kmmern... Ich hoffe, ich kriege das die nchsten Tage noch auf die Reihe - denn ab Mittwoch bin ich erstmal fr ein paar wenige Tage in sdlicheren Gefilden und lasse den PC einfach PC sein... Der Strand ist da durchaus interessanter... ;)

Ich werde mich auf jeden Fall wieder melden...

Herzlichen Dank schonmal. Ich habe ja noch die Illussion, dass sich das Problem vielleicht in den paar Tagen meiner Abwesenheit von alleine lst.

Wre doch "kuhl".... ;)

Und wenn ich dann wieder da bin, habe ich ja genug zu lesen...

Servus!

Finde brigens Dein Statemant zum Schluss "...hat noch niemandem..." klasse!

Kruzifix 17.05.2004 00:55

So, nun bin ich mit nem Sonnenbrand wieder zurck und mchte mitteilen, dass es geklappt hat!!! Herzlichsten Dank! Ist ein echt gutes Forum hier.

Doch um die Freude nicht zu gro werden zu lassen, gleich zum nchsten Problem. Seit ich diesen Hijacker drauf hatte und ihn, wie oben erwhnt, erfolgreich verbannen konnte, luft mein Rechner auch im Leerlauf sehr hoch und bei bereits zwei geffneten Programmen auf 100%.

Woran kann das denn liegen? Da macht es gar keinen Spa, die Urlaubsbilder zu bearbeiten... *grummel*

Bringt es was, wenn ich hier die laufenden Prozesse mal poste? Kann das etwas mit dem vorherigen Problem zu tun haben?

Ich hab keinen Bock, "C" platt zu machen....

Herzlichen Gru - Roland


EDIT: Mit WinTop hab ich es bereits versucht... aber ich kann das Prog wegen folgender Meldung nicht starten! "Der Prozedureinsprungpunkt 'GetPrecessFlags' wurde in der DLL 'KERNEL32.dll' nicht gefunden."

Oh Mann, das nervt mich was. Und ich euch damit wahrscheinlich auch...

[ 17. Mai 2004, 02:05: Beitrag editiert von: Kruzifix ]


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131