Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   aaaarghhhh! (https://www.trojaner-board.de/8597-aaaarghhhh.html)

Bran Ruz 19.10.2004 15:18
aaaarghhhh!
 
hallo, ich bin neu im forum & ein anfänger in sachen PC-Viren usw. & hier ist mein problem:

seit gestern spinnt mein PC (W98):
Wenn mein computer hochfährt, erscheint das fenster vom smart-surfer von alleine.
Mache ich dieses fenster zu, erscheint es gleich wieder auf dem desktop. Ich kann es 10 mal zumachen, es kommt immer wieder. :kloppen:
Minimiere ich das fenster, dauert es nicht 2 minuten und das fenster erscheint wieder auf dem desktop.
Merkwürdigerweise beruhigt es sich nach ca. 10 minuten. Dann erscheint dieses fenster nicht mehr.
Mein anti-virus programm (AVG-Free edition) hat nichts erkannt.
Um zu wissen, welche tasks aktiv sind, habe ich „Ctrl“ + „Alt“ + „Entf“ gedrückt. Da erschienen unter anderen ein antrag mit namen „Rnaapp“ & ein anderer mit „Twink64“.
Da die beiden anwendungen sind, traue ich mich gar nicht, sie einfach anzuklicken bzw. löschen und schon gar nicht mehr vom meinem pc ins internet zu gehen!
Könnt ihr mir bitte ein tipp geben, oder mir sagen, worum es sich bei diesen anwendungen handelt?

Bran Ruz

Wattewuschel 19.10.2004 16:06
hallo.

Lade mal hijack this herunter (hier ), scanne mal und poste das log hier.

dann kann dir geholfen werden.

cacatoa 19.10.2004 20:13
@ bran ruz

Rnaapp ist Dein DFÜ Arbeitsprogramm. Brauchst Du um hier mitposten zu können ;)
Twink64 ist ein Trojaner, der gerne Verbindung zur Außenwelt schafft.
Deshalb:
Den Rat von Wattewuschel befolgen und Logfile posten!
cacatoa

Bran Ruz 20.10.2004 17:50
ok, hier ist mein hijack-log.
was soll ich aber mit all das anfangen? abschiessen oder...? :snyper: (hihihi)

Logfile of HijackThis v1.98.2
Scan saved at 17:55:55, on 18.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\WINDOWS\SYSTEM\TWINK64.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

danke im voraus für die hilfe!

Shadowdance 20.10.2004 18:11
Hallo Bran Ruz,

MSIE: Internet Explorer v5.00 (5.00.2614.3500): Dein IE ist antik. Besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\SYSTEM\TWINK64.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

Boote in den abgesicherten Modus, fixe dann mit Hijack This (Häk'chen setzen und fix checked klicken):

O2 - BHO: (no name) - {15ACE85C-0BB1-42d1-9E32-07EB0506675A} - C:\WINDOWS\SYSTEM\ZOGIVUX.DLL (file missing)
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\SYSTEM\twink64.exe internat.dll,LoadKeyboardProfile
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Beende:
twink64.exe

Lösche:
C:\WINDOWS\SYSTEM\twink64.exe

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

Lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

Erstelle ein neues Hijack This Logfile und poste es.

SD

Bran Ruz 21.10.2004 13:45
ok, ich mache es so schnell wie möglich, habe (ahh... diese franzosen! die wissen ja nichts! :kloppen: ) aber dennoch 2 probleme:
da es kein gekauftes windows betriebssystem ist, traue ich mir nicht, den windowsupdate zu machen... :p
ausserdem, habe ich noch gefunden, wo man die systemwiederherstellung aktiviert :balla: (da ich sie ja noch nie benutzt habe...)

Shadowdance 21.10.2004 23:49
@ Bran Ruz,

vergiss die Systemwiederherstellung, ist ein Irrtum meinerseits, hab nicht dran gedacht, dass Du win98 hast. Mach bitte die Updates, das geht auch bei nicht gekauften Versionen von windows.

SD

Bran Ruz 22.10.2004 13:27
Ok, mache ich alles, und schicke die ergebnisse, sowie du es mir darum gebeten hast.
Vielen dank für die tipps, SD & auch alle anderen, die mir bei der sache beraten haben! :daumenhoc

Bran Ruz

Bran Ruz 28.10.2004 14:18
Da bin ich ja wieder!
so, hier ist erstmal das ergebnis des eScans:

Thu Oct 28 14:36:22 2004 => File C:\WINDOWS\loadclean.exe infected by "TrojanDownloader.Win32.Small.vn" Virus. Action Taken: No Action Taken.
Thu Oct 28 14:45:11 2004 => File C:\WINDOWS\SYSTEM\taskmon.exe infected by "TrojanClicker.Win32.Small.j" Virus. Action Taken: No Action Taken.

Fazit: unglaublich, da sind ja noch von den mistviechern! :headbang:

Und hier ist mein HiJackThis log:

Logfile of HijackThis v1.98.2
Scan saved at 15:03:25, on 28.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGSERV9.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\PROGRAMME\GRISOFT\AVG6\AVGCC32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\DESKTOP\CLEANERS\HIJACKTHIS - PROG & PROTOKOLLE\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRAMME\GRISOFT\AVG6\avgcc32.exe /startup
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [Avgserv9.exe] C:\PROGRA~1\GRISOFT\AVG6\Avgserv9.exe
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\sentstrt.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm


So, ich glaube, ich habe noch 'ne menge zu tun, ne?

Bran Ruz

cacatoa 28.10.2004 17:44
Tag, Bran Ruz,

die eScan Ergebnisse hast Du ja manuell gekillt, oder?

Fixe folgende im abgesicherten Modus:
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

Lösche die Datei
C:\WINDOWS\web\related.htm

Das sollte es gewesen sein...
Gruß cacatoa

Bran Ruz 28.10.2004 19:58
Hi Cacatoa!

Nee, die habe ich nicht einfach gekillt, da man mir schon erzählt hat, daß es auch ganz schön riskant sein kann, die viren einfach so zu löschen.

Soll ich das machen? einfach mit der rechten mausklick und dann löschen?

Gruß,

Bran Ruz

ps: danke für die anderen tipps.

cacatoa 28.10.2004 20:23
@ Bran Ruz,
Die Bescheibung steht ganz genau hier.
Einfach mal die Seite runterscrollen und lesen. Dann brauch ichnicht alles zu schreiben ;)

Bran Ruz 28.10.2004 20:28
Danke cacatoa,

ich hab's selber vor einigen sekunden gefunden & gelesen....

Gruß

Bran Ruz

hacthecrack 25.02.2005 18:11
Twik64
 
Hallo Leute,

bin newbie hier, habe aber twink64 auf meiner Rechenkiste enddeckt (durch Zone Alarm), das progi wolte ins Web, ich wurde aber mistrauisch und habs ihm untersagt, und es unter Quarantäne gestellt.
Danach im taskman deaktiviert. Und Kiste neustart.

Fragen:
Reicht es twink64 zu löschen, oder was muss ich jetzt machen?

vielen Dank im vorraus.

Der :snyper: ist für Typen die sowas Programieren.

cacatoa 25.02.2005 18:30
Hi,
löschen.
Stell doch mal ein HiJackThis Logfile hier rein.
Mal sehen, was sonst noch so ist...
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19