wärend dem surfen offnet sich ständig pop up fenster Strip pocker

Begonnen von Kuppe, 01. Dezember 2004, 13:00:02 Uhr

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

TMK

Für die Soundkarte bzw. des onboard-Sound musst wohl noch einen Treiber installieren.

puntoheizer

HEY Leutz!
Bin neu hier und hab auch das oben genannte Prob.! Wenn ich den IE öffne habe ich darüber hinaus jetzt ne neue toolbar namens "freshbar"
hängt wohl alles irgenwie zusammen!hab auch schon hijackthis laufen laufen lassen

Logfile of HijackThis v1.97.7
Scan saved at 15:01:53, on 11.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wskor.exe
C:\Programme\Telekom\T-Eumex 220PC\Capictrl.exe
C:\WINDOWS\System32\unlodctl.exe
C:\WINDOWS\System32\nlsfuncs.exe
C:\WINDOWS\System32\openconf.exe
C:\Dokumente und Einstellungen\Petra\Desktop\GoogleToolbarInstaller.exe
C:\Dokumente und Einstellungen\Petra\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] wskor.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Windows AdService] C:\Program Files\Windows AdService\WinAdServ.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] wskor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update Machine] wskor.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: Win32 Classes -
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab

wie gehe ich weiter vor? Bin noch nicht so der planer!

tyco

Da hast Du Dir einiges eingefangen:

FIXEN:

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O4 - HKLM\..\Run: [blah service] msnmsgrr.exe

O4 - HKLM\..\Run: [Microsoft Update Machine] wskor.exe

O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe

O4 - HKLM\..\RunServices: [Microsoft Update Machine] wskor.exe

O4 - HKCU\..\Run: [Microsoft Update Machine] wskor.exe

O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7.cab

O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab


Das grösste Problem wird der Eintrag O15 - Trusted Zone: http://*.63.219.181.7 sein. Dazu hier im Thread mal eine Seite zurückgehen. Vielleicht ist eine Neuinstallation und Formatierung der einfachste Weg.
Bitte keine Supportanfragen per PM stellen.

puntoheizer

hey super danke ;D! das hat mir schon weitergeholfen! nur der trusted zone eintrag halt! bekomm ich den nicht irgentwie mit killbox oder
so weg ???! ich würde gerne ne neuinstallation umgehen!

tyco

Versuch es mal mit Killbox und eScan. Ich habe hier eine Anleitung gefunden: Erste Hilfe bei unbekannter Malware, Hijacker, Viren, Backdoor, Würmer und co (http://www.rokop-security.de/board/index.php?showtopic=3867)
Bitte keine Supportanfragen per PM stellen.

ZZ

Habe das selbe Problem, ich soll immer auf ne Seite mit ner Webcam drauf. Hat das was mit ICQ zu tun??
Es öffnet sich immer ein Nachrichtenfenster. Im TM ist das in Verbindung mit Csrss.exe
Oder ein anderes Fenster mit ich soll auf die Seite www.patchnow.net gehen

Hier nen Fotohttp://mitglied.lycos.de/bumpers/Bild000.jpg
Logfile of HijackThis v1.98.2
Scan saved at 22:07:56, on 13.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\OfficeGUI32cb.exe
C:\WINDOWS\System32\WinGamed.exe
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\SETI@home\SETI@home.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
D:\PROGRA~1\ICQ\ICQ.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
D:\mIRC\mirc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
d:\Programme\WinRAR\WinRAR.exe
D:\Downloads\backups\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [seticlient] d:\Programme\SETI@home\SETI@home.exe -min
O4 - HKCU\..\Run: [MS Office32cb Startup] OfficeGUI32cb.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - D:\Programme\SchnapperPlus\SchnapperPlus.exe
O15 - Trusted Zone: http://reckman.bortal.de
O18 - Protocol hijack: mhtml -  

TMK

Einfach Nachrichtendienst deaktivieren: --> http://www.hwe-forum.de/index.php/topic,4726.0.html

"C:\WINDOWS\System32\WinGamed.exe" bzw. "O4 - HKLM\..\Run: [WinampAgent] d:\Programme\Winamp\winampa.exe" scheint ein Wurm zu sein: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.BR

...ebenfalls "C:\WINDOWS\System32\OfficeGUI32cb.exe" bzw. "O4 - HKCU\..\Run: [MS Office32cb Startup] OfficeGUI32cb.exe": http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.ABW

Anonsten würde ich wohl ggf. noch folgende Einträge fixen:
O4 - Global Startup: BTTray.lnk = ?
O15 - Trusted Zone: http://reckman.bortal.de
O18 - Protocol hijack: mhtml - 

Ganz generell solltest das SP2 installieren und browsertechnisch ebenfalls auf Firefox umsteigen, ab und an den Rechner auch z.B. mit SpyBot (http://www.safer-networking.org/de/) durchchecken.

zz

Jo, vielen Dank hoffe das kommt jetzt nicht mehr!! Dachte das wäre auch mit XP AntiSPY gefixt worden!!

Teufeli

Hallo Leute, ich hatte mich mit dem gleichen Problem rumschlagen müssen.
Ich habe heute die neuesten Updates von AntiVir und AdAware runtergeladen und die haben dann auch tatsächlich einiges gefunden und entfernt.
Trotz allem ist mein System immer noch nicht sauber, denn sobald ich im Windows einlogge springt Antivir an und meldet einen Trojaner. Das Teil nennt sich Dldr.VBS.Ps.AC.4, gefunden wird der immer im Verzeichnis Windows/System32. Der Name der betroffen Datei ist immer 4 stellig und beginnt immer mit MSxx.DLL. Antivir kann anscheinend den Trojaner löschen der sich mit dem Logon installieren will, aber irgendwo hat sich das *recksteil noch versteckt und wird mit dem Logon aktiv.
Ich wäre echt dankbar wenn jemand ne Idee hat wie man dem Teil an den Kragen gehen kann, Format C möchte ich wenn es geht vermeiden.

Vielen Dank im Vorraus
Nichts ist so schlecht als das es nicht für was gut ist... what ever!!!

tyco

Poste mal die HijackThis.Log (http://www.spywareinfo.com/~merijn/downloads.html). Aktuelle HijackThis Version ist 1.99.
Bitte keine Supportanfragen per PM stellen.

anta

hab exakt das selbe Problem!
Das Logfile sieht bei mir so aus:

Logfile of HijackThis v1.99.0
Scan saved at 10:55:48, on 19.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\tools\logitech\iTouch\iTouch.exe
D:\tools\logitech\MouseWare\system\em_exec.exe
D:\tools\antivir\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\internet\telefonieren\Skype.exe
D:\internet\netscape\Program\nsnotify.exe
C:\WINDOWS\System32\alg.exe
D:\tools\antivir\AntiVir\AVGUARD.EXE
D:\tools\antivir\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\tools\Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\System32\notepad.exe
D:\internet\Firefox\firefox.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.soccerzock.de"); (C:\Programme\Netscape\Users\andreas_tams\prefs.js)
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] D:\tools\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\tools\antivir\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\internet\telefonieren\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spyware Begone] D:\system\spyware\freescan.exe -FastScan
O4 - Global Startup: FRITZ!fax.lnk = D:\tools\Fritz\FriFax32.exe
O4 - Global Startup: Netscape Mail Benachrichtigung.lnk = D:\internet\netscape\Program\nsnotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\internet\netscape\Program\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .UVR: %programfiles%\Internet Explorer\Plugins\NPUPano.dll
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.65.71.39/activex/AxisCamControl.ocx
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{856A6B65-BD32-47C7-A9F8-83099D1604A4}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{98275D06-C235-455B-9A5E-062160DF695A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\tools\antivir\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\tools\antivir\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LicCtrl Service - Unknown - rundll32.exe (file missing)
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - D:\tools\Firewall\persfw.exe

Teufeli

Hier das Log von HijackThis.

Logfile of HijackThis v1.99.0
Scan saved at 11:14:55, on 19.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\programme\valve\steam\steam.exe
C:\Programme\Lexmark X125\LEX125SU.exe
C:\WINDOWS\system32\devldr32.exe
D:\Util\Antispy\HijackThis.exe

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [LMPDPSRV] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LMPDPSRV.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - Global Startup: Lexmark X125 Einstellungsdienstprogramm.lnk = C:\Programme\Lexmark X125\LEX125SU.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Nichts ist so schlecht als das es nicht für was gut ist... what ever!!!

tyco

Die Logfiles sehen  garnicht so schlecht aus.

@anta: Fixe diesen Eintrag:

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s

@Teufeli: Wie kommst Du auf Dldr.VBS.Ps.AC.4?

Würde zunächst mein Glück mit Spybot Search & Destroy und CWShredder versuchen.

Bitte keine Supportanfragen per PM stellen.

anta

Hallo tyco,

hab den Eintrag gefixt.

- noch immer meldet sich AntiVir beim IE-Start:

19.12.2004,12:44:19 [WARNUNG]  Ist das Trojanische Pferd TR/Dldr.VBS.Ps.AC.4!
  C:\WINDOWS\SYSTEM32\MSQR.DLL
      [FEHLER]  Die Datei konnte nicht gelöscht werden!
      0x00000005 - Zugriff verweigert

Bin mit allen gängigen AntiSpy, AntiVir, AdAwareprogrammen rangegangen.
Aber das Problem bleibt... Bin ziemlich verzweifelt...

Das aktuelle Logfile:


Logfile of HijackThis v1.99.0
Scan saved at 12:43:50, on 19.12.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\tppaldr.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\tools\logitech\iTouch\iTouch.exe
D:\tools\logitech\MouseWare\system\em_exec.exe
D:\tools\antivir\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\internet\netscape\Program\nsnotify.exe
C:\WINDOWS\System32\alg.exe
D:\tools\antivir\AntiVir\AVGUARD.EXE
D:\tools\antivir\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\tools\Firewall\persfw.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\VeriSign\NAVI\NAVICL~1.EXE
D:\internet\Firefox\firefox.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.soccerzock.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R3 - URLSearchHook: VeriSign Inc. i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.soccerzock.de"); (C:\Programme\Netscape\Users\andreas_tams\prefs.js)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\tools\SPYBOT~1\SDHelper.dll
O2 - BHO: VeriSign Inc. i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINDOWS\tppaldr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [zBrowser Launcher] D:\tools\logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WebCam Autolaunch] webc3lch
O4 - HKLM\..\Run: [QuickTime Task] "D:\tools\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\tools\antivir\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "D:\internet\telefonieren\Skype.exe" /nosplash /minimized
O4 - Global Startup: FRITZ!fax.lnk = D:\tools\Fritz\FriFax32.exe
O4 - Global Startup: Netscape Mail Benachrichtigung.lnk = D:\internet\netscape\Program\nsnotify.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra 'Tools' menuitem: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\internet\netscape\Program\AIM\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_1_4.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: http://*.search-soft.net
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.bitstream.com/wfplayer/tdserver.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://apple.speedera.net/qtinstall.info.apple.com/sikes/de/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://194.65.71.39/activex/AxisCamControl.ocx
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://royaljoker.microgaming.com/deutsch/FlashAX.cab
O16 - DPF: {F04A8AE2-A59D-11D2-8792-00C04F8EF29D} (Hotmail Attachments Control) - http://by2fd.bay2.hotmail.msn.com/activex/HMAtchmt.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{856A6B65-BD32-47C7-A9F8-83099D1604A4}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{98275D06-C235-455B-9A5E-062160DF695A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\tools\antivir\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\tools\antivir\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: LicCtrl Service - Unknown - rundll32.exe (file missing)
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Kerio Personal Firewall - Kerio Technologies - D:\tools\Firewall\persfw.exe


fällt Dir noch was ein dazu?
Danke für Deine Mühe!

anta

tyco

19. Dezember 2004, 13:54:03 Uhr #54 Letzte Bearbeitung: 19. Dezember 2004, 13:58:40 Uhr von tyco
Scheint ein ganz neuer Trojaner zu sein.  >:(

Im HijackThis Forum (http://www.hijackthis.de/forum/showthread.php?t=921&page=1&pp=10) kämpfen sie auch damit. Es werden anscheinend so ca. 15 Dateien im Ordner C:\Windows\system32 erstellt.

Falls Du diese Dateien findest, verschiebe sie mal (nicht kopieren) im abgesicherten Modus in einen neuen Ordner C:\Boese

msop.dll
FNTCACHE.DAT
pentxpl.exe
hdkj.dll
date.dat
menu.txt
iecust.dll
iecust.exe
opencont.exe
unlodctl.exe
nlsfuncs.exe
dx9vbc.dll
taskopen.exe
qappsrvc32.exe
dnsauth.dll
msqr.dll

Bitte keine Supportanfragen per PM stellen.

anta

ok, hab folgende Dateien gefunden,
die mit "ja" markierten entsprechend verschoben...

msop.dll.................. nein
FNTCACHE.DAT......... ja
pentxpl.exe.............. nein
hdkj.dll.................... nein
date.dat.................. ja
menu.txt.................. ja
iecust.dll.................. ja
iecust.exe................ ja
opencont.exe............ nein
unlodctl.exe.............. nein (unlodctr.exe gefunden)
nlsfuncs.exe.............. ja
dx9vbc.dll................. nein
taskopen.exe............. nein
qappsrvc32.exe.......... nein
dnsauth.dll................ nein
msqr.dll..................... nein

noch kein direkter Erfolg spürbar... Weiter die AntiVir-Meldung
beim IE-Start...


Teufeli

@ tyco

den Namen dieses Trojaner hab ich von AntiVir.

Ich habe die meisten der von dir genannten Dateien in ein separates Verzeichnis geschoben, nach dem erneuten Booten und einloggen kam diemal keine Meldung von AntiVir bez. des Trojaners... dafür das die Datei qappsrvc32.exe nicht ausgeführt werden konnte. Ich schätze mal das ist das Sorgenkind. Ich werd jetzt mal den Systemstart und die Services checken wo das aufgerufen wird.

Anscheinend ist es das jetzt... ich weiß net, ich bin inzwischen ziemlich mißtrauisch geworden... ich danke dir trotzdem  :)
Nichts ist so schlecht als das es nicht für was gut ist... what ever!!!

Teufeli

hmmm... der Aufruf ist nirgends zu finden.
Ich habe jetzt services.msc, msconfig und mit regedit die RUNONCE und RUN überprüft. Nirgendwo ist was zu sehen.
Nichts ist so schlecht als das es nicht für was gut ist... what ever!!!

tyco

Zitat von: anta am 19. Dezember 2004, 14:48:39 Uhr

noch kein direkter Erfolg spürbar... Weiter die AntiVir-Meldung
beim IE-Start...


Ok, suche und verschiebe diese Dateien auch noch, falls Du sie findest:

"service.exe" (nicht services.exe)
"msacmx.dll"
"d3dxov.dll"
"winsrv32.dll"
"ieûnit.exe"
"ipxroutex.exe"
"rdshost32.exe"
"rshe.exe"
"net2.exe"
"mqsvch.exe"
"dllhostxp.exe"
"extrac16.exe"
"mqbckup.exe"
"pxhping.exe"
"rdpnr.exe"
"slservc.exe"
"clfmon.exe" (nicht ctfmon.exe)
"hdr.dll"
"usb.dll"
"adsnp.dll"
"cdrview.dll"
"comctrl32.dll"
"msswch.exe"
"netddx.exe"
"spoolsrv.exe"

Was ist mit der unlodctl.exe? Konntest Du die nicht löschen?
Bitte keine Supportanfragen per PM stellen.

anta

*freu*

AntiVir hat zwar beim ersten IE-Start nach verschieben obiger Dateien noch einmal
den Trojaner gefunden, konnte ihn aber nun löschen... hmm... Wars das jetzt?

tyco, Du bist ein Held!

Andreas