Trojaner-Board - "Unsichtbare/unauffindbare" Aktive X

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - "Unsichtbare/unauffindbare" Aktive X (https://www.trojaner-board.de/9442-unsichtbare-unauffindbare-aktive-x.html)

"Unsichtbare/unauffindbare" Aktive X

Hallo zusammen.
A2-Online-Check hat folgendes gemeldet:

WebPlugin_Class gefunden. Typ: Autoloader
WebUpdate gefunden. Typ: Autoloader
WSD gefunden. Typ: Autoloader
IELoader gefunden. Typ: Autoloader
Acceler8or gefunden. Typ: Autoloader

Es wurden gefährliche ActiveX Komponenten gefunden! Bitte säubern Sie Ihren PC mit einem Anti-Dialer Programm.

Habe alles laufen lassen, was helfen könnte und zusätzlich in der Registry nach den Namen gesucht. Konnte nicht eine einzige Datei finden und folglich auch nicht löschen.

Habe eben das 1. Hijack-This meines Lebens erstellt und weiss nun gleichviel wie vorher :crazy:
Logfile of HijackThis v1.98.2
Scan saved at 20:44:52, on 10.11.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\HARDCOPY\HARDCOPY.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\HPZSTATX.EXE
C:\UNZIPPED\HIJACKTHIS1982\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://internet.sunrise.ch/de/hom/default.asp
O2 - BHO: SMSButton Class - {E0000C3F-8DE9-4FCB-9294-22FC06851B37} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM\Shdocvw.dll
O9 - Extra button: SMS - {F08E1604-39FA-48b0-AE59-DF5BCD1646FA} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
O9 - Extra 'Tools' menuitem: SMS versenden... - {F08E1604-39FA-48b0-AE59-DF5BCD1646FA} - C:\WINDOWS\SYSTEM\SMARTSMS.DLL
O16 - DPF: {0A945585-FC1B-11D4-B0E5-00B0D064523A} (SecurityCheck Element) - hxxp://www.sicherheitstest.ch/comp/data/SecurityCheckIter2.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - hxxp://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - hxxp://www.pestscan.com/scanner/axscanner.cab

Bitte, kann mir jemand helfen :heulen:

@Tschaila

dein logfile ist eher unauffällig
lade dir bitte folgende programme, installiere sie und danach gleich updaten.
wenn du das getan hast, dann dein system scannen.
www.lavasoft.de adaware
http://www.safer-networking.org/en/download/ spybot
http://www.javacoolsoftware.com/spywareblaster.html spywareblaster
die erste 2 programme schauen erst nachher auf den pc.
spywareblaster blockt bekannte spyware ab.
diese 3 programme immer wieder updaten.
wenn bei den scans was gefunden wird, das ergebnis hier posten.
bei spybot wird ein DSO Exploit angezeigt(ist ok, brauchst nichts machen)

chaosman

@ chaosman:
Was ist mit dem "Kernel32.dll"? (Der taucht als laufender Prozess in der Auswertung nämlich gar nicht auf...)
Schau mal hier
cacatoa

@cacatoa
hast recht, habe ich übersehen :headbang:
"shame on me"
THX!
@Tschaila
escan runter laden
http://www.mwti.net/antivirus/free_utilities.asp
und so wie hier beschrieben wird einsetzen
http://www.trojaner-board.de/42731-escan-anleitung.html
anschließend ein neues HJT logfile posten

chaosman

Hallo Chaosman, hallo Cacatoa. Bin froh, dass sich jemand kümmert. Adaware upgedated und im agesicherten Modus gescannt = Kein "Befund". Spybot habe ich gestern gemacht und mir gleichzeitig einen Wurm "Alexa" eingefangen, möchte ich nicht nochmals probieren. Escan gehört seit ein paar Tagen zu meinem täglich Brot. Im abgesicherten Modus ausgeführt = kein Befund. Was ist mit Kernel32.dll???? Ist da noch was nicht i.O.? Bin eigentlich mit Probs schon genügend eingedeckt. Bitte sehr freundlich um weitere "Wegbeschreibung". Merci!

@Tschaila
Alexa ist im XP schon drin, da hast du dich nichst eingefangen
nun wenn escan nichts findet, dann müßte es eigentlich ok sein.
chaosman

Hi,
AdAware SE im normalen Modus scannen lassen und alles löschen, was er zeigt.
Kernel32.dll dahinter versteckt sich ein kennwortstehlender Trojaner.
Beschreibung auf meinem post von vorhin. Einfach auf das "hier" im unteren Post clicken und dann lesen.
Mit spybot S&D hast Du Dir Alexa sicher nicht gefangen, den hat Dir Dein Messenger mitgeliefert.
Und die Ergebnisse von eScan hätt´ich gern gesehen, kannst Du die reinposten?
Ich schu es mir morgen nachmittag an, muß jetzt leider in die Heia (um fünf raus!)
Gute Nacht bis dann
:sleepy:
cacatoa

Danke schon mal. Schlaf gut cacatoa und süsse Träume. Werde die Sachen erledigen und hoffe, dass wir morgen weiterkommen. By

Hallo. Schön, dass Du wieder da bist. Hier das Log von escan:
Wed Nov 10 23:23:47 2004 => ***** Scanning complete. *****
Wed Nov 10 23:23:47 2004 => Total Files Scanned: 1830
Wed Nov 10 23:23:47 2004 => Total Virus(es) Found: 0
Wed Nov 10 23:23:47 2004 => Total Disinfected Files: 0
Wed Nov 10 23:23:47 2004 => Total Files Renamed: 0
Wed Nov 10 23:23:47 2004 => Total Deleted Files: 0
Wed Nov 10 23:23:47 2004 => Total Errors: 0
Wed Nov 10 23:23:47 2004 => Time Elapsed: 00:11:09
Wed Nov 10 23:23:47 2004 => Virus Database Date: 2004/11/03
Wed Nov 10 23:23:47 2004 => Virus Database Count: 108135

Wed Nov 10 23:23:47 2004 => Scan Completed.

Wie gesagt, ich kann nirgends etwas finden und trotzdem wird es im a2-Online-Check angezeigt. Was kann ich noch tun?

Hi, tschaila,
ich kann mir nicht vorstellen, daß der eScan mit 1830 gescannten files vollständig ist. Hast du alle Häkchen gesetzt (Vor allem "scan all local drives")?
Glaub ich nicht.

Hallo. Habe nicht gewusst, dass man da irgendwelche Häkchen setzen muss. Werde das gleich nachholen. Bis in ein paar Minuten. mfg

Hallo Cacatoa. Ich hätte besser schreiben sollen, in ein paar Stunden. Der Escan hat gedauert...... Habe folgende Häkchen gesetzt: Memory, Startup Folder, bei Drive All local Driver, Fodler, Include Sub Directory. Hoffe, das war so i.o.
Folgendes Ergebnis:

Thu Nov 11 20:57:56 2004 => ***** Scanning complete. *****
Thu Nov 11 20:57:56 2004 => Total Files Scanned: 25552
Thu Nov 11 20:57:56 2004 => Total Virus(es) Found: 3
Thu Nov 11 20:57:56 2004 => Total Disinfected Files: 0
Thu Nov 11 20:57:56 2004 => Total Files Renamed: 0
Thu Nov 11 20:57:56 2004 => Total Deleted Files: 0
Thu Nov 11 20:57:57 2004 => Total Errors: 2
Thu Nov 11 20:57:57 2004 => Time Elapsed: 02:18:56
Thu Nov 11 20:57:57 2004 => Virus Database Date: 2004/11/03
Thu Nov 11 20:57:57 2004 => Virus Database Count: 108135

Thu Nov 11 20:57:57 2004 => Scan Completed.

File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\Original-Disks\win98\ebd.cab tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.
File C:\WINDOWS\COMMAND\EBD\EBD.CAB tagged as not-a-virus:Tool.DOS.Restart. No Action Taken.

Na, das ist doch schon was!
Die drei Dinger sind ohne Wert. eScan sagt, habe was gefunden, ist aber nix.
Hast Du alles gut gemacht! :)
In diesem Sinne, halt den Rechner sauber!
Gruß cacatoa

Jupijehh :daumenhoc nach Escan sind nun auch alle 5 Autoloader-Meldungen weg. :aplaus: :aplaus: Cacatoa :aplaus: :aplaus: Vielen Dank!
Bevor Du "mich verlässt" noch eine Frage: Soll ich das gratis Dialerschutzprogramm von Swisscom auch noch installieren. Habe inzwischen (nach der ganzen Trojaner - Dialer - Virus - Entfernungs - Aktion) folgende Programme installiert:
AntiVir (Gratisversion, soll seit neuestem Dialerabwehr enthalten, bin aber nicht sicher), ZoneAlarm (Firewall), Adaware SEPersonal, a2-Scanner, Spy Subtract, Escan, SpywareBlaster, RegCleaner, Trojancheck, Hijack This. Bitte noch um diese Antwort. Merci und LG

Swisscom ist o.k., kenn ich, obwohl ich aus Bayern bin - da guckste was?
Evtl. noch clearprog 1.4.0. final, damit kannst Du alle temp. files schön sauber halten.
Ansonsten bist Du ja gut gerüstet. :daumenhoc
LG cacatoa

Konnte einiges lernen. Nochmals vielen Dank für Deine professionelle Hilfe. Schön, dass man hier in solchen Fällen nicht alleingelassen wird. By :bussi: