Home » Spyware & Browser Hijacker Support Forum » C:\windows\downloadedprogramfiles\conflict.1\d_alexeyman.exe » Themenansicht

C:\windows\downloadedprogramfiles\conflict.1\d_alexeyman.exe
#0
17.06.2004, 19:22
aberkurt
...neu hier

Beiträge: 1
#1 \WINDOWS\DownloadedProgramFiles\CONFLICT.1\d_alexeyman.exe

??? hatt einer von euch die exe auf dem rechner und diese erfolgreich löschen können ???

wenn ich bei

WINDOWS\DownloadedProgramFiles

öffne ist der ordner leer wenn ich mir die details von dem ordner anschaue kommt

2 dateien
1 ordner

??? wie kann ich die exe löschen ???

unter lokaler datenträger c liegt noch

"alexeyman kompilierte html-hilfedatei "

die lässt sich löschen

und auf dem desktop wurde ein

icon angelegt

das lässt sich auch löschen

mit antivirus / ad-aware konnte ich es nicht löschen

für eure hilfe im vorraus ein danke
Seitenanfang Seitenende
07.07.2004, 22:16
NoPeil
Member

Beiträge: 149
#2 Ich kenn kich zwar nicht aus.. Aber was ich sagen kann, ich habe sie nicht..

----> \WINDOWS\DownloadedProgramFiles\CONFLICT.1\d_alexeyman.exe <----

Der Name verwundert mich irgendwie.. 'Alexeyman' Glaube kaum das so eine Datei heißt die auf rechnern ist ;)

Aber wenn du mehr wissen willst musst du von jemandem anderem Hilfe suchen..
Sorry ;)

MfG NoPeil
Dieser Beitrag wurde am 07.07.2004 um 22:16 Uhr von NoPeil editiert.
Seitenanfang Seitenende
09.07.2004, 08:48
Para_NOid
Member

Beiträge: 19
#3 hmm.... ich habe auch die datei aufn rechner
jedenfalls versucht sie eine internetverbindung aufzubauen die ich erstmal an meiner softwarefirewall geblockt habe
Seitenanfang Seitenende
09.07.2004, 08:53
paff
Member

Beiträge: 1095
#4 @aberKurt & Para_NOid

Für euch wird's dringend Zeit mal euer HiJAckThis zu posten
http://hjt.klaffke.de/

Vorher mal das machen
http://www.rokop-security.de/board/index.php?showtopic=3867

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
09.07.2004, 09:05
Para_NOid
Member

Beiträge: 19
#5 @paff

sorry...
habe den thread in google gefunden und direkt angeklickt und wusste nicht das ich hier nur was über hijacker posten darf
ob es auch ein hijacker ist weis ich nicht, jedenfalls hab ich seid dem auch ne andere startseite im ie brausa allerdings benutze ich ihn zu selten um sagen zu können ob es dran liegt

@Kurt


es handelt sich um ein Trojan Win 32 Dialer
Seitenanfang Seitenende
09.07.2004, 09:24
paff
Member

Beiträge: 1095
#6

Zitat

Para_NOid postete
@paff
habe den thread in google gefunden und direkt angeklickt und wusste nicht das ich hier nur was über hijacker posten darf
ob es auch ein hijacker ist weis ich nicht, jedenfalls hab ich seid dem auch ne andere startseite im ie brausa allerdings benutze ich ihn zu selten um sagen zu können ob es dran liegt
Nein Para_Noid, du hast mich falsch verstanden. ;)

Du soll hier dein HiJackThis Logfile posten, da mit 95% iger Annahme feststeht das ihr von HiJacker befallen seit. EIne andere Startseite weißt eindeutig darauf hin.
Posted das Log und wir schauen was ihr löschen müßen.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 09.07.2004 um 09:25 Uhr von paff editiert.
Seitenanfang Seitenende
09.07.2004, 10:08
Para_NOid
Member

Beiträge: 19
#7 uiiii, *lol*
da hab ich wirklich was falsch verstanden ;)

hier der inhalt der logfile

Logfile of HijackThis v1.98.0
Scan saved at 10:07:08, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\cygwin\bin\cygrunsrv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\cygwin\usr\sbin\sshd.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Telekom\T-Eumex 220PC\Capictrl.exe
C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
C:\Programme\Nokia\PC Suite für den Nokia 9210i Communicator\ConnectState.exe
C:\Programme\Symantec\ACT\SideACT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~1\Nokia\PCSUIT~1\ECTASK~1.EXE
C:\PROGRA~1\Nokia\PCSUIT~1\BROADC~1.EXE
C:\Dokumente und Einstellungen\MSchade\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {5A853FAC-D099-4B8E-B7D2-D668FD2F043D} - C:\WINDOWS\System32\egch.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [MMKey] C:\Programme\Launch Manager\MMKey.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\T-Eumex 220PC\routcnf.exe /capiactive
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator.lnk = ?
O4 - Global Startup: SideACT!.lnk = C:\Programme\Symantec\ACT\SideACT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - c:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\Software\..\Telephony: DomainName = hammel.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B28D4C4-34AF-4813-88BB-D30D534AFAFE}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hammel.local
O18 - Filter: text/html - {F1CEE695-D0F0-4696-8633-A2A2E858D9C8} - C:\WINDOWS\System32\egch.dll
O18 - Filter: text/plain - {F1CEE695-D0F0-4696-8633-A2A2E858D9C8} - C:\WINDOWS\System32\egch.dll
Seitenanfang Seitenende
09.07.2004, 10:17
paff
Member

Beiträge: 1095
#8 @Para_NOid

Supi, ich glaub wir verstehen uns jetzt ;)
Du hast dir einen Lecker HiJacker eingefangen

Lade dir hier die mwav.exe
http://www.rokop-security.de/board/index.php?showtopic=3867
Auch den updateschritt machen und (Anleitung für später ausdrucken)

Geh bitte in den abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Starte HiJackThis und fixe folgendes (ankreuzenn und FixChecked drücken)

O2 - BHO: (no name) - {5A853FAC-D099-4B8E-B7D2-D668FD2F043D} - C:\WINDOWS\System32\egch.dll
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator.lnk = ?
O18 - Filter: text/html - {F1CEE695-D0F0-4696-8633-A2A2E858D9C8} - C:\WINDOWS\System32\egch.dll
O18 - Filter: text/plain - {F1CEE695-D0F0-4696-8633-A2A2E858D9C8} - C:\WINDOWS\System32\egch.dll

Such die
C:\WINDOWS\System32\egch.dll
und pack Sie in ein ZIPfile

Dann starte die mwav.exe und scanne nach obiger Anleitung

Während der ganzen Aktion NIE den Internet Explorer öffnen


Dann normal booten und nochmal LogFile posten

Schick das Zipfile bitte an virus@protecus.de

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 09.07.2004 um 15:48 Uhr von paff editiert.
Seitenanfang Seitenende
09.07.2004, 11:02
Para_NOid
Member

Beiträge: 19
#9 aber brauch ich nicht die 2 einträge für mein nokia ???

O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator.lnk = ?
Seitenanfang Seitenende
09.07.2004, 11:11
paff
Member

Beiträge: 1095
#10 @para_NOid

Zitat

aber brauch ich nicht die 2 einträge für mein nokia ???
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator Aufgabenplaner.lnk = ?
O4 - Global Startup: PC Suite für den Nokia 9210i Communicator.lnk = ?
Wenn ein Fragezeichen dahinter stehen, bedeutet das, das es eine Verknüpfung im Autostart Ordner liegt, der aber leider keiner Existierende Exe-Datei zugeordnet ist.

Schau einfach mal unter Start/Programme/Autostart.

Du kannst dann auch einfach diese Verknüpfungen dort löschen.
Leider hab ich schon gehört das HiJAckThis v1.98.0 in diesen Sachen manchmal einen BUG hat.
Jetzt wäre ein Guter Zeitpunkt dies rauszufinden

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 09.07.2004 um 11:12 Uhr von paff editiert.
Seitenanfang Seitenende
09.07.2004, 11:46
Para_NOid
Member

Beiträge: 19
#11 wie ich es schon vermutut hatte
es ist der trojan.win32.dialer.ec und trojan.win32.dialer.bh

weis jemand was der so macht?¿?¿?

werde jetzt noch zuende scannen lassen und die restlichen schritte noch ausführen dann poste ich nochmal die hijackthis logfile

edit: trojandropper.win32.small.hx und trojan.win32.startpage.is wurde noch gefunden
edit2: naja.... sasser war auch drauf.... 17 gefundene viruse trotz McAfee und kerio + aktueller virendev und programmaktualisierung...

so hier nochmal die logfile

Logfile of HijackThis v1.98.0
Scan saved at 14:09:30, on 09.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\cygwin\bin\cygrunsrv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\cygwin\usr\sbin\sshd.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
C:\Programme\Symantec\ACT\SideACT.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\MSchade\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.16.201:8080;gopher=192.168.16.201:8080;http=192.168.16.201:8080;https=192.168.16.201:8080;socks=192.168.16.201:1080
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
O4 - Global Startup: SideACT!.lnk = C:\Programme\Symantec\ACT\SideACT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - c:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\Software\..\Telephony: DomainName = hammel.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hammel.local

alles in ordnung??? ;)
Dieser Beitrag wurde am 09.07.2004 um 14:09 Uhr von Para_NOid editiert.
Seitenanfang Seitenende
09.07.2004, 15:46
paff
Member

Beiträge: 1095
#12

Zitat

Para_NOid postete
alles in ordnung??? ;)
Nein das muß noch gefixt werden
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MSchade\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

Mach einen Neustart
und poste bitte danach nochmal das LogFile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 09.07.2004 um 15:47 Uhr von paff editiert.
Seitenanfang Seitenende
12.07.2004, 15:32
Para_NOid
Member

Beiträge: 19
#13 so.... also nochmal

Logfile of HijackThis v1.98.0
Scan saved at 15:34:06, on 12.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\Avsynmgr.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\Programme\Network Associates\VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\LTSMMSG.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\CtrlVol.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
C:\Programme\Symantec\ACT\SideACT.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\cygwin\bin\cygrunsrv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\cygwin\usr\sbin\sshd.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\KNobbs.HAMMEL\Desktop\hijackthis\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {93207742-0E2B-4549-A4E4-DCDAF11106CA} - C:\WINDOWS\System32\oei.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: DynDNS-Updater Traytool.lnk = C:\Programme\Nord-Vision\DynDNS-Updater\ddutray.exe
O4 - Global Startup: SideACT!.lnk = C:\Programme\Symantec\ACT\SideACT.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://c:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - c:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\Software\..\Telephony: DomainName = hammel.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B28D4C4-34AF-4813-88BB-D30D534AFAFE}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hammel.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hammel.local
O18 - Filter: text/html - {581E1153-2C83-460A-B1D1-F45778C4A7CD} - C:\WINDOWS\System32\oei.dll
O18 - Filter: text/plain - {581E1153-2C83-460A-B1D1-F45778C4A7CD} - C:\WINDOWS\System32\oei.dll

unter anderem findet er immer iweder den trojan.win32.startpage.is und geht net weg... auch wenn ich ihn lösche kommt er immer wieder
Dieser Beitrag wurde am 12.07.2004 um 15:34 Uhr von Para_NOid editiert.
Seitenanfang Seitenende
12.07.2004, 15:48
paff
Member

Beiträge: 1095
#14 @Para

Irgendwo ist bei dir noch der Wurm drin (sozusagen)

Nochmal

Lade dir hier die mwav.exe
http://www.rokop-security.de/board/index.php?showtopic=3867
Auch den updateschritt machen und (Anleitung für später ausdrucken)

Geh bitte in den abgesicherten Modus von XP
http://www.bsi.de/av/texte/winsave.htm

Fixe dies
O2 - BHO: (no name) - {93207742-0E2B-4549-A4E4-DCDAF11106CA} - C:\WINDOWS\System32\oei.dll (file missing)
O18 - Filter: text/html - {581E1153-2C83-460A-B1D1-F45778C4A7CD} - C:\WINDOWS\System32\oei.dll
O18 - Filter: text/plain - {581E1153-2C83-460A-B1D1-F45778C4A7CD} - C:\WINDOWS\System32\oei.dll

Scanne mit mwav.exe

Neustart und nochmal Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
12.07.2004, 16:05
Para_NOid
Member

Beiträge: 19
#15 hmm.... hab da was

Alias
Trojan.Win32.StartPage.is

Erläuterung
Troj/StartPa-DT ist ein Adware-Trojaner, der die Browser-Einstellungen für den Microsoft Internet Explorer ändert, indem er folgende Registrierungseinträge ändert:

HKLM\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKLM\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page
HKLM\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL = 1
HKLM\Software\Microsoft\Internet Explorer\Main\Use Search Asst = no
HKCU\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKLM\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
HKCU\Software\Microsoft\Internet Explorer\Main\Search Bar
HKCU\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKLM\Software\Microsoft\Internet Explorer\Search\SearchAssistant
HKCU\Software\Microsoft\Internet Explorer\Main\Use Custom Search URL = 1
HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst = no

Der Trojaner registriert sich als COM-Objektm indem er folgende Registrierungseinträge erstellt:

HKCR\CLSID\<Random CLSID>\
InProcServer32\(Default) = <pfadname von Troj/StartPa-DT DLL>
HKCR\CLSID\<Random CLSID>\
InProcServer32\ThreadingModel = Apartment
HKCR\PROTOCOLS\Filter\text/html\CLSID
= <zufällige CLSID>
HKCR\PROTOCOLS\Filter\text/plain\CLSID
= <zufällige CLSID>

Der Trojaner verändert außerdem die HOSTS-Datei, wobei er Verknüpfungen zu folgenden Websites deaktiviert:
count.cc
searchx.cc
google.com
yahoo.com
msn.com
netscape.com
ieautosearch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123