tr/dldr.small.orThema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
28.09.2004, 18:36
...neu hier
Beiträge: 3 |
|
|
|
29.09.2004, 11:23
Member
Beiträge: 1095 |
#2
Hi pechvogel
Hoffe du bist nicht wie dein Nick Also bitte folgendes durchführen Bitte lade dir ESCAN Entpacken und updaten wie angegeben Deinen Virenscanner updaten Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL (file missing) O4 - HKLM\..\Run: [sltnnvdelofiq] C:\WINDOWS\SYSTEM\wqaxum.exe Dann scannen mit Escan wie oben angegeben Poste bitte das Virenlog danach hierein. Dann scanne mit deinem Virenscanner, alle Festplatten. WICHTIG!!!!!!! Das dauert einen Weile, aber lohnt sich Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 29.09.2004 um 11:24 Uhr von paff editiert.
|
|
|
01.10.2004, 06:24
...neu hier
Themenstarter Beiträge: 3 |
|
|
|
05.10.2004, 13:05
...neu hier
Beiträge: 6 |
#4
Hallo,
hatte auch TR/dldr.Small.OR. Der Virenwächter von AntiVir hat dieses trojanische Pferd gleich erkannt. AntiVir löscht es jedoch nicht. Warum? (AntiVir-Einstellungen überprüft und korrekt) Lässt man LukeFilewalker in AntiVir laufen, wird TR auch erkannt, im Report kann man auch genau nachsehen, wo es sich aufhält oder isoliert(?) wurde, aber AntiVir gibt die Meldung aus: 'Infizierte Dateien in Archiven werden nicht gelöscht oder repariert'. Keinen Hinweis in der Hilfe was nun zu tun sei, und den ganzen Nachmittag im Internet unterwegs gewesen, um zu erfahren wie man vorgehen könnte. Schließlich habe ich den Aufenthaltsort des TR, die Zip-Datei C:\'explorer.cab' ganz einfach gelöscht (Zwischenstation Papierkorb deaktiviert). Mir fällt nichts Unnormales an meinem Rechner auf; sollte es geklappt haben, so einfach? Oder wird das eventuell noch ein Nachspiel haben? Dieser Beitrag wurde am 05.10.2004 um 13:07 Uhr von JeanPersil editiert.
|
|
|
05.10.2004, 15:31
Member
Beiträge: 1095 |
#5
@JeanPersil
Hi und willkommen an/im Board. Du hast es genau richtig gemacht. Da es die DAtei C:\'explorer.cab' aber bis auf deinen Rechner geschafft hat ist es nicht auszuschliessen das noch irgendwas anderes sich auf dem Rechner befindet. Poste bitte mal dein hiJackThis Logfile http://hjt.klaffke.de/ Dann sehen wir was Sache ist. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
05.10.2004, 18:07
...neu hier
Beiträge: 6 |
#6
Hallo paff,
Danke Dir für die schnelle Antwort! Und bin schon mal erleichtert. Das mit dem Posten des HiJackThis-logfiles habe ich hier auf dem board schon bewundert, und werd jetzt mal versuchen damit klarzukommen. Meld mich, wenn ich es nicht hinbekomme. Gruß, Jean So, wenn ich wieder alles richtig gemacht habe, ist hier der logfile: Logfile of HijackThis v1.98.2 Scan saved at 18:59:50, on 05.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\BITWARE\NT\bwprnmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ntvdm.exe C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe C:\WINDOWS\System32\taskswitch.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\vpc32.exe C:\Programme\Iomega\Tools_NT\IMGICON.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [bwprnmon.exe] C:\PROGRA~1\BITWARE\NT\bwprnmon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe O4 - Startup: AstroWorld Today.lnk = C:\Programme\AstroWorldSuite\AstroWorld Today\Daily.exe O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools_NT\STARTNT.EXE O4 - Global Startup: Iomega-Symbole.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Refresh.lnk = C:\Programme\Iomega\Tools_NT\REFRESH.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab Kannst Du was sehen? Gruß, Jean Dieser Beitrag wurde am 05.10.2004 um 19:07 Uhr von JeanPersil editiert.
|
|
|
06.10.2004, 09:15
Member
Beiträge: 1095 |
#7
@Jean
Hi, da hat dich wohl der Trojaner doch erwischt. Oder er war schon früher da Egal führe bitte folgendes durch Geh in den Abgesicherten Modus AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe Dann normal starten und nochmal das HiJackThis Logfile hier posten Dann schick mir mal bitte die Datei vpc32.exe (Wahrscheinlich in C:\Windows\system32) gezippt an mike_hangover@gozomail.com (Meine FakeEmail) Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
06.10.2004, 11:30
...neu hier
Beiträge: 6 |
#8
@paff
So, bin wieder da, hat etwas gedauert, da ich im abgesicherten Modus zuerst nicht erkannt habe, dass ich nicht den Weg 'Administrator' sondern 'Frank' einschlagen muss. Der Scan unter der Anmeldung als Admin ergab nur zwei der besagten drei 04er Meldungen mit vpc32.exe, und nach dem fixchecked-Befehl auf diese beiden waren alle drei nach dem Normalstart wieder da. Dann hat es aber unter der richtigen Anmeldung im abgesicherten Modus als 'Frank' geklappt, und ich habe deine Anweisung (war perfekt, Vielen Dank!) genau befolgen können. Jetzt ist eine neue Zeile, die mit ctfmon.exe, aufgetaucht. Du wirst wissen warum? Die gezipte Datei vpc32.exe bekommst Du gleich per email geschickt. Hier der aktuelle logfile: Logfile of HijackThis v1.98.2 Scan saved at 11:08:38, on 06.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Iomega\System32\AppServices.exe C:\Programme\Iomega\AutoDisk\ADService.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\BITWARE\NT\bwprnmon.exe C:\WINDOWS\system32\ntvdm.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Iomega\DriveIcons\ImgIcon.exe C:\Programme\Iomega\AutoDisk\ADUserMon.exe C:\WINDOWS\System32\taskswitch.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Frank\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [bwprnmon.exe] C:\PROGRA~1\BITWARE\NT\bwprnmon.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: AstroWorld Today.lnk = C:\Programme\AstroWorldSuite\AstroWorld Today\Daily.exe O4 - Global Startup: Iomega - Startoptionen.lnk = C:\Programme\Iomega\Tools_NT\STARTNT.EXE O4 - Global Startup: Iomega-Symbole.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Refresh.lnk = C:\Programme\Iomega\Tools_NT\REFRESH.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {ADC3EA10-8A28-41A9-96B4-534ADFC3CA0A} (Configuratore Auto Control) - http://www.lcv.fiat.com/autopricer/ocx/configuratoreauto.cab Danke und Gruß, Jean |
|
|
06.10.2004, 12:11
Member
Beiträge: 1095 |
#9
@Jean
Die ctfmon.exe ist OK. Ist von Windows http://www.windowsstartup.com/wso/detail.php?id=622 Hat was mit der Sprachumschaltung zutun. Dein Log sieht jetzt sauber aus. Update mal deinen Virenscanner und lass in im Abgesicherten Modus alle Festplatten scannen. Ich weiß das, dauert eine Weile aber es lohnt sich. Melde dich dann bitte nochmal gruß paff P.S. Hast du mir die Datei geschickt ? __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.10.2004 um 12:12 Uhr von paff editiert.
|
|
|
06.10.2004, 12:13
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo @JeanPersil
Das Log ist sauber. Es ist jedoch so, dass der Backdoor auch einen Mutex hat, der sich wahrscheinlich noch auf dem PC befindet. #TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) #TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt h http://www.almisoft.de/traxex2.htm #Wiederherstellung deaktivieren (dann wieder aktivieren) http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 <Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. http://www.kerio.com/kpf_download.html <Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). http://www.firewallinfo.de/handbuecher/tiny_kerio_20/ 1. kontrolliere immer die Autostarteintraege.(mit HijackThis oder TCPView 2.34) 2.NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 3.PC-Selbsttest http://check.lfd.niedersachsen.de/start.php[b 4.alle Passworte aendern 5.Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ ___________________________________________________________________________________________________________ #Deinstalliere den Antivirus (dann lade neu) http://www.free-av.de/ und konfiguriere im Guard und im Scanner : "alle Dateien" und "Heuristik mittel" und scanne im Normalmodus und abgesichertem Modus mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 12:16 Uhr von Sabina editiert.
|
|
|
06.10.2004, 14:41
...neu hier
Beiträge: 6 |
#11
@paff
Hallo paff, prima, dass der logfile jetzt sauber ist, danke Dir sehr! Die gezipte Datei vpc32.exe habe ich Dir per email geschickt, ist sie nicht angekommen? @Sabina Hallo Sabina, Danke für die vielen Super-Tipps, werde sie nach und nach abarbeiten. Grüße von Jean |
|
|
06.10.2004, 18:07
Member
Beiträge: 1095 |
#12
@Jean
Das meldet Kaspersky vpc32.exe - packed with PE_Patch.Morphine vpc32.exe - packed with Morphine vpc32.exe - packed with UPX vpc32.exe Infiziert: Backdoor.Win32.Rbot.gen Nur zur Info __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
06.10.2004, 18:16
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo @Jean
Hier noch einige Infos: zum Thema http://board.protecus.de/t12627-1.htm Zunächst einmal mußt du dir im Klaren sein, wie sich der Wurm verbreitet: - Via Netzwerk Freigaben (TCP ports 139 and 445) - Via Exploits ( durch ausnützen von bestehenden Sicherheitslücken) - Via andere Malware Abhilfe: - NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios - zeitnahes einspielen von Sicherheitspatches - kein Download aus nicht vetrauenswürdigen Quellen - keine eMail Attachments öffnen usw. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.10.2004 um 18:17 Uhr von Sabina editiert.
|
|
|
06.10.2004, 21:09
...neu hier
Beiträge: 6 |
#14
Hallo paff und Sabina,
die Kapersky-Analyse sagt mir nichts, mein Wissen ist dafür zu gering. Was mach ich jetzt mit der Datei vpc32.exe? Soll ich sie löschen, paff? Nochmals Danke! Nachdem ich AntiVir deinstalliert und neu gedownloaded und installiert hatte, habe ich sowohl einen Scan im normalen als auch einen Scan im abgesicherten Modus durchgeführt. Dabei wurde der Wurm worm/Agobot 136218 in der Datei MSlti64.exe gemeldet. Habe diese Datei nach Nachfrage von AntiVir gelöscht. War wahrscheinlich ein Fehler, hätte sie zunächst mal untersuchen sollen. Erneute Scans ergaben dann nichts mehr, HijackThis-Logfile mit vorherigem bis auf Reihenfolge der Meldungen identisch. Habe jetzt den Mozilla-Browser installiert und bin die ganzen Punkte durchgegangen, die Sabina angegeben hat, d.h habe die Links besucht und versucht mit der Materie klarzukommen. Gestern schon habe ich versucht, den NetBios abzuschalten, aber das funktioniert nicht, das Häkchen wird nicht gehalten, aktiviert sich ständig selbst. Kann das am SmartSurfer von Web.de liegen? Hab den schon x-mal in der Vergangenheit neu installiert, die Browser haben irgendwie keine Verbindung dazu, die Verbindung muss man immer separat herstellen - nervt! Habt Ihr dazu - zu den Portseinstellungen und zu dem Beginn der Internetverbindung einen Tipp? Und ist der Wurm Agobot 136218 weg? Kann bei Bedarf ja nochmal den logfile posten. Danke und Grüße von Jean Dieser Beitrag wurde am 06.10.2004 um 21:51 Uhr von JeanPersil editiert.
|
|
|
06.10.2004, 21:44
...neu hier
Beiträge: 2 |
#15
Hallo zusammen!
Ich freu' mich so: Obwohl ich aufpasse wie ein "Heftlesmacher" (keine unbekannten Downloads, keine email-Anhänge) hab' ich seit gestern auch den Trojaner TR/Dldr.Small.OR in der Datei 'explorer.cab'. Nun war ich erst 'mal froh, dass ich über google von diesem Forum erfahren habe - nur: so richtig kapieren tue ich das alles nicht. Immerhin hat mir mein Sohnemann gnädigerweise erklärt, wie ich ein log erstelle. Hier ist es: Logfile of HijackThis v1.98.2 Scan saved at 21:19:14, on 06.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\PROGRA~1\Dantz\RETROS~1\retrorun.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe C:\WINDOWS\MXOALDR.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\GetRight\getright.exe C:\Programme\GetRight\getright.exe C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\WINDOWS\twain_32\A4CIS600\WATCH.exe C:\WINDOWS\System32\txtuser.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\t-online\Browser\browser.exe C:\Dokumente und Einstellungen\Günther\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [TotalRecorderScheduler] C:\Programme\HighCriteria\TotalRecorder\TotRecSched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [aap] qff.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [MaxtorOneTouch] C:\PROGRA~1\Maxtor\OneTouch\Utils\OneTouch.exe O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE O4 - HKLM\..\RunServices: [aap] qff.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [YAW starten] "c:\programme\yaw 3.5\fast.exe" O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: GetRight - Tray Icon.lnk = C:\Programme\GetRight\getright.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe O4 - Global Startup: Image Transfer.lnk = ? O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU) O9 - Extra button: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {FB19230A-54A4-4B4E-8237-D58C81B94D42} - (no file) (HKCU) O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {03C543A1-C090-418F-A1D0-FB96380D601D} (preload control) - http://216.82.66.200/build/preload.cab O16 - DPF: {0BE0E0B4-3E03-4EB6-99B2-00948505A067} (Media Client ActiveX Installer) - http://www.downloadcoach.com/MCInstaller.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/298627804d37ddf9cc05/netzip/RdxIE601_de.cab O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://phobos.apple.com/detection/ITDetector.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F011903D-3DF5-42D0-BE45-FB8D06F128A7}: NameServer = 217.237.150.33 217.237.151.161 So nun meine Bitte: Kann mir jemand in leicht-verständlichen und geduldigen Worten erklären, was ich tun muss? Außerdem noch eine Zusatzfrage: Was kann dieser Trojaner denn anstellen? (Ist online-Banking noch gefahrlos möglich?) 1000 Dank für die Bemühungen im Voraus! Gong (est mort!) |
|
|
Danke schon mal im Vorraus.
Stephan
Logfile of HijackThis v1.98.2
Scan saved at 18:03:45, on 28.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\NCLTOOLS\NCLTRAY.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE
C:\PROGRAMME\TEVION\SCANWIZARD 5\SCANNERFINDER.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OUTLOOK.EXE
C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\SERVICES\SERVICELAYER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE
O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\TWAINTEC.DLL (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [sltnnvdelofiq] C:\WINDOWS\SYSTEM\wqaxum.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [RNBOStart] C:\WINDOWS\SYSTEM\RNBOSENT\SENTSTRT.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRAMME\MICROSOFT ACTIVESYNC\WCESCOMM.EXE"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\vrtoolcheckorder.exe
O4 - Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O4 - Startup: Microsoft Outlook (2).lnk = C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
O4 - Startup: Microsoft ActiveSync (2).lnk = C:\Programme\Microsoft ActiveSync\WCESMgr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRAMME\MICROSOFT ACTIVESYNC\INETREPL.DLL