winmm64.exe [Trojan.Win32.StartPage.ht"

von **geomerz** am 22.10.2004, 18:10

Hi,
hatte den TR/Dldr.Small.OR trojaner und schon einiges probiert den PC wieder sauber zu bekommen.

hier ist ein aktuelles log-file mit bitte um rat

Logfile of HijackThis v1.98.2
Scan saved at 17:18:11, on 22.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\ms32nt.exe
C:\Programme\Spyware Doctor\spydoctor.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\msnmsgsgs.exe
C:\Dokumente und Einstellungen\Dipl.-Ing. G. Merz\Eigene Dateien\Eigene Dateien\Virenschutz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = 0
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://martfinder.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 0
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.martfinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = 0
R3 - URLSearchHook: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - (no file)
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - (no file)
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-414456544F4E} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [msnmsgsgs] C:\WINDOWS\msnmsgsgs.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe
O4 - HKCU\..\Run: [ms32nt] C:\WINDOWS\system32\ms32nt.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O16 - DPF: Win32 Classes -
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O19 - User stylesheet: c:\windows\my.css (file missing)

gruß geomerz

von **Nikita** am 23.10.2004, 21:55

Hallo @geomerz

Gehe in die Registry

Start<Ausfuehren<regedit:
Suche folgende Scluessel unfd loesche sie rechts in der Registry:

[ TROJ_IEFEATS.A]
#HKEY_CLASSES_ROOT\iefeatsl.ViewSource
#HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1
#HKEY_CLASSES_ROOT\SearchHook.SearchHookObject
#HKEY_CLASSES_ROOT\SearchHook.SearchHookObject.1
#HKEY_CLASSES_ROOT\CLSID\
{587DBF2D-9145-4c9e-92C2-1F953DA73773}
#HKEY_CLASSES_ROOT\CLSID\
#{8085E374-ACBB-42F9-873F-49EC7E244F97}
#HKEY_CLASSES_ROOT\CLSID\
{FD9BC004-8331-4457-B830-4759FF704C22}
#HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{587DBF2D-9145-4c9e-92C2-1F953DA73773}
#HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{FD9BC004-8331-4457-B830-4759FF704C22}
#HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
{8085E374-ACBB-42F9-873F-49EC7E244F97}
#HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Uninstall\iefeatsl
#HKEY_CLASSES_ROOT\ae23.ae23Obj
#HKEY_CLASSES_ROOT\ae23.ae23Obj.1
#HKEY_CLASSES_ROOT\CLSID\
{2E9CAFF6-30C7-4208-8807-E79D4EC6F806}
#HKEY_CLASSES_ROOT\Interface\
{7B9A715E-9D87-4C21-BF9E-F914F2FA953F}
#HKEY_CLASSES_ROOT\TypeLib\
{ED7A0B22-11D9-4F74-8C1D-0936EFA66B3D}
#HKEY_CURRENT_USER\Software\d78ffc13

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und starte den PC neu

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchAssistant = 0
R1 - HKCU\Software\Microsoft\Internet Explorer,CustomizeSearch = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 0
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 0
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://martfinder.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchxp.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 0
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.martfinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = 0
R3 - URLSearchHook: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - (no file) [ TROJ_IEFEATS.A]
O2 - BHO: . - {587DBF2D-9145-4c9e-92C2-1F953DA73773} - (no file)
O2 - BHO: (no name) - {8085E374-ACBB-42F9-873F-49EC7E244F97} - (no file) [Hijacker]
O3 - Toolbar: (no name) - {9EAC0102-5E61-2312-BC2D-414456544F4E} - (no file)
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SheduIer] C:\WINDOWS\msexploren.exe /i
O4 - HKLM\..\Run: [msnmsgsgs] C:\WINDOWS\msnmsgsgs.exe [ tr/spy.delitall.a]
O4 - HKCU\..\Run: [SpywareGuardPlus] C:\WINDOWS\system32\winmm64.exe [Trojan.Win32.StartPage.ht" homepage hijacker]
O4 - HKCU\..\Run: [ms32nt] C:\WINDOWS\system32\ms32nt.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\spydoctor.exe" /Q
O16 - DPF: Win32 Classes -
O19 - User stylesheet: c:\windows\my.css (file missing)

neustarten

Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen.
1. Klicken Sie unter Start auf Arbeitsplatz.
2. Klicken Sie im Menü Extras auf Ordneroptionen.
3. Klicken Sie auf die Registerkarte Ansicht und anschließend auf Versteckte Dateien und Ordner.

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

#suche , ob du es findest:
Documents and Settings\Application Data\iefeatsl
wenn ja, loesche es.
in dieser Datei <iefeatsl<muesste folgendes enthalten sein: (alles loeschen)
# DICT.DAT
# KEYWORDS.DAT
# MSIESH.NEW.EXE
# SUBMIT2.EXE

#C:\Program Files\Submit
# C:\Program Files\SUBMITHOOK.DLL
# C:\Program Files\UNINSTALL.EXE
# C:\Program Files\UNINSTALL.INI

#deinstalliere:
<C:\Programme\Spyware Doctor\spydoctor.exe
<C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe

#oeffne das HijackThis

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\my.css <PC neustarten

mache das auch mit :
<c:\windows\Msiesh.dll
<C:\WINDOWS\system32\Msiesh.dll
<c:\windows\IEFEATSL.DLL
<C:\WINDOWS\system32\IEFEATSL.DLL
<C:\Program Files\SUBMITHOOK.DLL
< C:\WINDOWS\SYSTEM\ADV.DLL

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\msnmsgsgs.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
<C:\WINDOWS\system32\winmm64.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\system32\ms32nt.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\msexploren.exe

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#Deaktiviere deinen Virenscanner und lade:
Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
und scanne (am besten im abgesicherten Modus)

Dann poste das Log noch mal.

mfg
Nikita
*****
http://www.trendmicro.com/vinfo/virusen ... .A&VSect=T

von **geomerz** am 25.10.2004, 22:39

Hi,
konnte vieles abarbeiten, hier nun das neue log-file
Logfile of HijackThis v1.98.2
Scan saved at 22:13:19, on 25.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WINZIP\WZQKPICK.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Dipl.-Ing. G. Merz\Eigene Dateien\Eigene Dateien\Virenschutz\HijackThis.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WINZIP\WZQKPICK.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

Gruß Georg
PS: jetzt habe ich googel als IE-Startseite, statt meiner leeren Seite ???

von **Nikita** am 26.10.2004, 00:26

Hallo@geomerz

Stelle im Internetexplorer eine neue Startseite ein und poste das LOg noch mal.

mfg
Nikita

von **geomerz** am 26.10.2004, 19:40

Hallo nikita,

habe auf leere Seite gestellt und das funktionierte.

hier das neue log:
Logfile of HijackThis v1.98.2
Scan saved at 19:31:02, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe
C:\Programme\EDS\License Servers\UGNXFLEXlm\uglmd.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WINZIP\WZQKPICK.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Dipl.-Ing. G. Merz\Eigene Dateien\Eigene Dateien\Virenschutz\HijackThis.exe

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WINZIP\WZQKPICK.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab

Momentan habe ich noch folgende freeware auf dem PC:

Giant antispyware, a² (asquared), ad-aware, ebenso xp-antispy und noch xpclean.

Giant antispyware konnte ich bislang nicht wieder entfernen, bitte um info welche dieser freeware ich belassen soll und welche nicht.

mfg
G. Merz

von **Nikita** am 26.10.2004, 21:20

Hallo@geomerz

Du kannst alle Antispy-tools lassen. Das geht in Ordnung,

Ich haette nur gern, dass du probehalber einmal ne Startseite einstellst und ein bisschen surfst, um dann zu sehen, ob sie sich veraendert oder nicht.

Tip:
Viel sicherer als der IE:
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

mfg
Nikita

von **geomerz** am 26.10.2004, 21:39

Hallo Nikita,

habe schon etwas gesurft und die Einstellung bleibt i.O.

Eine weitere Merkwürdigkeit ist aufgetreten, und zwar hatte ich mit Kaspersky einmal im normalen und dann im abgesicherten Modus gescannt und entsprechende Viren (2 oder 3) gelöscht.

Soeben hatte ich mit xp-clean gearbeitet und dann hat Kaspersky die meldung gebracht:

Access blocked ... C:\WINDOWS\Winampagent.exe
Object infected with an virus ... TrojanDownloader.WIN32.Agent.ea

Diesen habe ich dann gelöscht.

Merkwürdig für mich ist, dass mit Kaspersky ja schon zwei mal gescannt wurde, woher kommt dann eine solche Meldung?

Bedeutet dies, dass ich den PC "nie" wieder sauber bekomme?

Zum Browser: Hatte schon einmal Opera verwendet, kam auch gut damit zurecht, hatte leider aber das Problem, dass die Sparkasse damit Probleme hatte und ich dort kein Internetbanking machen konnte. Werde noch prüfen, ob dies heute möglich ist und dann vorr. auf Opera wieder umsteigen.

Gruß G. Merz

von **Nikita** am 26.10.2004, 22:16

Hallo@

Ein Trojaner oder Backdoor setzt sich normalerweise aus mehreren Bestandteilen zusammen.

Durch das Cleanen ist wahrscheinlich ein Mutex, der noch nicht geloescht war, vom Kaspersky beim Wickel gepackt worden.
Es passiert oft, auch wenn man z.B. mit AdAware arbeitet, dass mein Antivirus ploetzlich anschlaegt.

Dann kommt noch dazu, dass man die Wiederherstellung immer deaktivieren sollte (nach Virenbefall) und dass man alle Festplatten und auch die BackUps ueberpruefen muss, sowie staendig den Antivirus aktualisieren.

Die absolute Sicherheit gibt es nicht, um so weniger,, wenn der PC einmal verseucht war, hilft im Grunde nur noch eine Neuinstallation, wenn man Wert auf Sicherheit legt.

NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios
_________________________________________________

Warnung
mutmaßlichen Entwickler des Trojaners "Randex" festgenommen.
dass Virenschreiber die Adressen von mit Trojanern infizierten Rechnern gegen Bezahlung an Spammer weitergeben. Diese nutzen die befallenen Systeme, um -- von den Besitzern der Rechner unbemerkt -- illegal Werbemails zu verteilen. Außerdem haben die Virenverbreiter mit ihrem Netzwerk aus Trojanern eine wirkungsvolle Waffe in der Hand, um etwa verteilte DoS-Attacken zu fahren.
http://www.heise.de/security/result.xht ... rds=Randex
Trojaner klauen Bank-Kunden PINs und TANs:
http://www.heise.de/newsticker/meldung/50793
Trojaner Bizex-E nutzt ungepatchte Sicherheitslücke im Internet Explorer [Update]
http://www.heise.de/newsticker/meldung/50939
Mit gefälschten Web-Seiten und E-Mails versuchen Banden aus Osteuropa, sich die Zugangsdaten zu Bankkonten zu erschleichen - und diese anschließend zu plündern.
http://www.spiegel.de/spiegel/0,1518,316561,00.html

#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung

mfg
Nikita

von **GrayGhost** am 27.10.2004, 10:32

Hallo geomerz,
ich habe gehört, dass du Sorgen um deine Daten hast. So wie es aussieht, scheint ist das aktuelle System nicht mehr zu retten :-(

Nikita schrieb mir, dass du dich mit dem Gedanken trägst ein Notebook zu kaufen um dann darauf die Daten zu sichern. Einen Rat zum Notebookkauf kann ich dir leider nicht geben, aber bei der Datensicherung möchte ich dir gerne helfen. Dazu würde ich gerne ein paar Informationen haben:

Wie groß ist die zu sichernde Datenmenge ungefähr?
Wieviel Speicherplatz steht auf dem alten Rechner noch zur Verfügung?
Befindet sich dieser Platz auf einer, von C: getrennten Partition?
Besitzt du einen CD-Brenner?
Welches Beriebssystem hast du?

Die Sache mit den "inoffiziellen" Programmen verstehe ich nicht so ganz. Sind dies Programme, die nicht zur offiziellen Software Austattung des PCs gehören? Wenn diese auf dem Rechner installiert sind, dann kannst du sie nicht sichern. Du brauchst immer die Installationsroutine.

von **geomerz** am 28.11.2004, 09:23

Hallo,
hier die gewünschten Infos bzgl. der Datensicherung:
Größe der Datenmenge ca. 8MB belegter Speicher
zur Verfügung ca. 13MB
keine getrennte Partition
kein CD-Brenner
Windows XP

Gruß
geomerz

Was ist das? Verbindung bricht immer ab, wenn ich z.B. wie jetzt eine Nachricht verschicken will.

von **Nikita** am 28.11.2004, 13:54

Hallo@geomerz

Deinstalliere den Kaspersky wieder und arbeite das hier ab.
Dann berichte.
#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867

mfg
Nikita

von **geomerz** am 01.12.2004, 20:23

Hi,
habe diese Killbox installiert, escan durchgeführt und eine infektion gefunden und eliminiert.
Des weiteren ein 0190-Dailer und eine EBD.CAB im
WINDOWS\COMMAND\ ... und in WINDOWS\Startdiskette98\ ... Verzeichnis. Dies habe ich sicherheitshalber alles "gekillt".

Was bleibt ist die Frage der Registrie-Einträge, die man nur als "Person die sich damit auskennt" löschen soll lt. Anweisung.
Eine hijackthis-Auswertung ergab nur ein kleines gelbes Ausrufezeichen, sonst war alles o.k.

Auf alle Fälle sieht es so aus, als ob der PC schneller läuft, hoffe dies bleibt so. Die Internetverbindung ist nun auch stabil, seit ich diese Zeilen schreibe.

Was bleibt nun noch zu tun ?

Gruß
Georg

von **Nikita** am 01.12.2004, 20:39

Hallo@geomerz

Fuehre bitte das hier durch:

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip

1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

2.Log: (komplett)
HijackThis-->Config
<List also minor sections (full) -->Häkchen setzen
<List empty sections (complete) -->Häkchen setzen
HijackThis-->Config-->MiscTools-->Generate StartupListlog

von **geomerz** am 02.12.2004, 20:20

holla nikita,
est es la log-file que quieres

Logfile of HijackThis v1.99.0 (BETA)
Scan saved at 18:48:37, on 02.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\iTouch\iTouch.exe
C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\WINZIP\WZQKPICK.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\Dokumente und Einstellungen\Dipl.-Ing. G. Merz\Eigene Dateien\Virenschutz\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.freehqmovies.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.freehqmovies.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.martfinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\MOUSEW~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WINZIP\WZQKPICK.EXE
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Unigraphics Plot Server (ugiipqd) - Unknown - C:\WINDOWS\System32\spool\ugplot\ugiipqd.exe
O23 - Service: Unigraphics License Server (uglmd) - GLOBEtrotter Software Inc. - C:\Programme\EDS\License Servers\UGNXFLEXlm\lmgrd.exe

otra StartupListlog es demasiado grande (~33kb) pero quando tu neccesitas voy a postar la file.

con mucha esurpresa
Georg Merzjavascript:emoticon(':wink:')

von **Nikita** am 03.12.2004, 02:57

Hallo@geomerz

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.freehqmovies.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freehqmovies.com/enter.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.freehqmovies.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.searchxp.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.martfinder.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchxp.com/search.php?qq=%s

neustarten

2.Schritt:
entpacke die Tools "cwsfix.reg" + "cwsserviceremove.regauf dem Desktop, aber noch nicht öffen-
<"cwsfix.reg" + "cwsserviceremove.reg
http://d21c.com/Tom41/?D=A
lade:: http://d21c.com/Tom41/cwsserviceremove

Lade AbourBuster-> entpacke auf dem Desktop ->update ->(noch nicht scannen)
www.malwarebytes.biz/AboutBuster.zip ...updaten (!)
Note: You must run this program as a user with Administrator privaleges.

Lade -> entpacke auf dem Desktop ->(noch nicht scannen)
#AdAware (free)
http://www.lavasoft.de/support/download/

Lade entpacke auf dem Desktop ->(noch nicht scannen)
#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html

Lade entpacke auf dem Desktop ->(noch nicht scannen)
#Search&Destroy
http://www.safer-networking.org/de/download/index.html
____________________________________________________________
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

und dort füge cwsfix.reg" +
"cwsserviceremove.reg durch "yes" der Registry bei und scanne mit
AboutBuster,AdAware,CWShredder 1.59,Search&Destroy

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken

Dann poste das Log noch mal.

winmm64.exe [Trojan.Win32.StartPage.ht"

winmm64.exe [Trojan.Win32.StartPage.ht"

Ähnliche Themen

Wer ist online?