Habe mit wohl einen Trojaner eingefangen - immer falsche Startseite

#1 Hier mein Hijacklogfile.
Hoffentlich könnt ihr mir helfen.
Ad Aware, CWS Shredder und Spybod S+D haben mir nicht geholfen.

Logfile of HijackThis v1.97.7
Scan saved at 14:37:01, on 22.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\crrh.exe
C:\Programme\AVWin\AVMAILC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\iewr.exe
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
F1 - win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B5A0B57E-BE5F-BB13-6317-E2FCAB757146} - C:\WINDOWS\iewr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWin\Avwupd32.EXE /min
O4 - HKLM\..\Run: [iewr.exe] C:\WINDOWS\iewr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

#2 @cupar

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
F1 - win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe
O2 - BHO: (no name) - {B5A0B57E-BE5F-BB13-6317-E2FCAB757146} - C:\WINDOWS\iewr.dll
O4 - HKLM\..\Run: [iewr.exe] C:\WINDOWS\iewr.exe


neustarten
gehe in den abgesicherten Modus...F8 beim Hochfahren druecken


# loesche C:\WINDOWS\iewr.dll

#Loesche msxmidi.exe
unpacked-msxmidi.exe

#Gehe in die Registry und loesche auf der rechten Seite

Start\Ausfuehren\regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[iewr.exe]
schliesse die Registry

#LoescheC:\WINDOWS\iewr.exe

#mache einen Vollscann mit dem Antivirus


normal neustarten


http://www.mwti.net/antivirus/free_utilities.asp
Poste dann, was das Tool gefunden hat.
.............................................................................................................
Schau mal unter Systemsteuerung/Verwaltung/Dienste ,ob da ein Dienst namens
"Network Client"
oder
"Network Security Service"
vorhanden ist.

Dann bitte doppelklicken und posten was unter Pfad zur exe-Datei steht

..............................................................................................................
#Lade AdAware free
http://www.lavasoft.de/

#Mache unter Start\Programme\WindowsUpdate

#Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein
poste das Log noch mal Plus die anderen Infos, um die ich dich gebeten habe.


MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Danke für deine Hilfe.
Ich habe es gerade mit der Systemwiederherstellung auf einen früheren Zeitpunkt versucht und habe jetzt wieder meine normale Startseite.
Ist damit mein problem dauerhaft gelöst oder schlummert die Malware noch irgendwo?

Schöne Grüße
cupar

#4 cupar,

Das ist ja eine sehr interessante Problemloesung......
Poste mal das Log, da kann ich sehen, ob die Malware noch drauf ist.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Cupar,

hatte ein ähnliches Problem, und würde mich auf für das Logfile interessieren und ob Du alles losgeworden bist.
Bei mir war es eine Spyware, welche die Datei IESP.MHT als Startseite festlegt,... und das sehr sehr hartnäckig....
Als letzte Instanz hat auch bei mir nur die Systemwiederherstellung geholfen (aber sie hat,...wer hätte das gedacht? ;-) )
Aber zu beginn ist es sehr wichtig, alles, was schon angeführt wurde an Scan- und Removaltools anzuwenden. Bei mir waren es Antivir/ AdAware/ Spybot und abschliessend der CWShredder. Nur die Startseite blieb hartnäckig, erst nachdem ich die Systemwiederherstellung verwendet habe (aus dem abgesicherten Modus heraus!), hatte ich wieder Ruhe.
Es ist also nicht auszuschließen, dass die Spyware nur auf dem Rechner ruht.
Bei mir konnten u.a. folgende Trojaner gefunden werden, die b]gleichzeitig[/b] auf meinen Rechner einstürmten (System war am Vorabend clean):
NetSky.P/ StartPage.IG.1 und PURScan.B.1. dazu noch die Spyware mit der iesp.mht und einer weiteren Datei namens NnjihjjK.exe, die von keinem der Scanner gefunden wurde. Sie viel mir nur auf, als sie sich beim Herunterfahren aufgehängt hatte und nicht zu schließen war, sie wurde in genau dem Zeitraum der Infizierung angelegt.
War eine mächtig hartnäckige Geschichte,.. wahrlich nicht witzig.
Hoffentlich bin ich mit meinem Posting noch nicht allzu spät.

Viele Grüße,
Füchti

#6 Hallo,

hoffentlich könnt ihr mir helfen, beim Starten von XP will sich der Rechner immer wieder einwählen. Hier mein logfile:

Logfile of HijackThis v1.98.0
Scan saved at 18:23:13, on 29.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus\AVGNT.EXE /min
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Danke Jens

#7 Na, bei dir ist schon einiges "boese", fix mal das:

O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab
O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [Smss] ssms.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [SYSTEM] lsas.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe
O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe
O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Smss] ssms.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe
O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe
O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Smss] ssms.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [SYSTEM] lsas.exe
O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C6

Starte neu und schicke diese Dateien
C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif
C:\WINDOWS\System32\pzbbspv.exe
bitte an virus@protecus.de

Auch das bitte abarbeiten:
http://www.rokop-security.de/main/article.php?sid=703
__________
MfG Ralf
SEO-Spam Hunter

#8 DAnke Raman hat alles funktioniert.

MfG Jens

#9 Moin noch mal,

hier noch mein Logfile anch der abenteurlichen Beseitigung inkl. Systemwiederherstellung.
Wär nett, wenn Ihr mal schauen könnt, ob sich danoch was böses versteckt hält und weiterhelfen könnt,...

Logfile of HijackThis v1.98.0
Scan saved at 23:53:45, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SpamPal\spampal.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Install\Neuer Ordner\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2180d48c89d165cfc514/netzip/RdxIE601_de.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{178F1A71-507A-43A0-90E8-00743E51FFDF}: NameServer = xxx.x.xxx.xx,xxx.x.xxx.xx
O17 - HKLM\System\CS1\Services\Tcpip\..\{178F1A71-507A-43A0-90E8-00743E51FFDF}: NameServer = xxx.x.xxx.xx,xxx.x.xxx.xx


PS.: die beiden 017er sind hoffentlich richtig, habe nur die manuell eingetragenen IP'S meines Providers rausgenommen ..

Viele Grüße,
Marcus

#10 @Fuechti

Fixe
F0 - system.ini: Shell=


neustarten

scanne mit mwav.exe , das ist der escan...30 Tage free
Berichte dann, ob das Tool was gefunden hat.
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

schon mal Danke für die Hilfe!

Zitat

Sabina postete
@Fuechti

Fixe
F0 - system.ini: Shell=
neustarten

Gemacht, kurze Frage: Habe dem Eintrag keinen großen Wert zugemessen,lag wohl falsch damit? Was bedeutet er?

Zitat

scanne mit mwav.exe , das ist der escan...30 Tage free
Berichte dann, ob das Tool was gefunden hat.

Auch gemacht, habe zunächst nur die Dateien gescant, die in der Registry eingetragen sind. (sind sonst 400Gb Fesplattenspeicher)

Wed Jun 30 14:08:26 2004 => ***** Scanning complete. *****
Wed Jun 30 14:08:26 2004 => Total Number of Files Scanned: 262
Wed Jun 30 14:08:26 2004 => Total Number of Virus(es) Found: 0
Wed Jun 30 14:08:26 2004 => Total Number of Disinfected Files: 0
Wed Jun 30 14:08:26 2004 => Total Number of Files Renamed: 0
Wed Jun 30 14:08:26 2004 => Total Number of Deleted Files: 0
Wed Jun 30 14:08:26 2004 => Total Number of Errors: 1
Wed Jun 30 14:08:26 2004 => Time Elapsed: 00:00:06
Wed Jun 30 14:08:26 2004 => Virus Database Date: 2004/06/29
Wed Jun 30 14:08:26 2004 => Virus Database Count: 95936

Wed Jun 30 14:08:26 2004 => Scan Completed.

Einen Virus hat er nicht gefunden, aber eine Fehlermeldung, die mich etwas irritiert:

Wed Jun 30 14:03:33 2004 => ERROR!!! Invalid Entry System32\DRIVERS\IPFilter.sys in SYSTEM\CurrentControlSet\Services\IPFilter...

(hoffe, die eine Zeile reicht, das ganze Protokoll ist etwas lang,... )

Kannst Du was damit anfangen? (habe so den Verdacht, als könne das der Grund dafür sein, dass ich auf diesem Rechner keine dynamische IP für die DSL-Einwahl beim provider machen kann...)

Viele Grüße und nochmal Danke,
Marcus

#12 @Fluechti

fixe auch noch

2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

neustarten

ich war mir nicht sicher und musste mich erst schlau machen..

.................................................................................................
# Nach dem Aufruf des Servers auf einem System kopiert sich zum Beispiel ein Backdoor in den
Windows-Ordner. Damit er bei jedem Systemstart in den Speicher geladen wird, trägt
er sich in die win.ini und in die Registry ein.

........................................................................................................

1.)den Eintrag "shell= in der System.ini ändern in
"shell=Explorer.exe",


2.)KEY_CLASSES_ROOT\exefile\shell\open\command

#Der Wert muss "%1" %* (Standardwert) sein. Ist davor noch ein Eintrag "Windos.exe",
"run.exe" oder eine andere ausführbare Datei angegeben, notiere den Namen und
setze den Eintrag auf den Standardwert "%1" %* zurück.
.........................................................................................................
IP-Filter
http://www.gbserver.de/faq,09,05,1033.html

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hi Sabina,

Full Scan ist durch (2 Stunden, das nenne ich gründlich ), mit interessanten Ergebnissen.
In der Tat hat der Sanner eine Datei mit einem Backdoor im Temp-Verzeichnis gefunden, der genau zur Zeit, als der ganze Schlamassel losging (gestern morgen) angelegt wurde.
Allerdings bekam ich auch Meldungen über Programme, die eigentlich clean sein sollten, wie z.B. die "40th34.zip ", das ist mein HTML-Editor,.. den verwende ich schon ewig, sollte mich wundern, wenn der wirklich böse ist.
Hier das Resultat (in Ausschnitten...):

Wed Jun 30 16:20:54 2004 => ***** Scanning complete. *****

Wed Jun 30 16:20:54 2004 => Total Number of Files Scanned: 190612
Wed Jun 30 16:20:54 2004 => Total Number of Virus(es) Found: 6
Wed Jun 30 16:20:54 2004 => Total Number of Disinfected Files: 0
Wed Jun 30 16:20:54 2004 => Total Number of Files Renamed: 0
Wed Jun 30 16:20:54 2004 => Total Number of Deleted Files: 1
Wed Jun 30 16:20:54 2004 => Total Number of Errors: 1
Wed Jun 30 16:20:54 2004 => Time Elapsed: 02:04:17
Wed Jun 30 16:20:54 2004 => Virus Database Date: 2004/06/29
Wed Jun 30 16:20:54 2004 => Virus Database Count: 95936

Wed Jun 30 16:20:54 2004 => Scan Completed.


File C:\Dokumente und Einstellungen\Füchti\Lokale Einstellungen\Temp\84.tmp infected by "Backdoor.Agent.aq" Virus. Action Taken: File Deleted.

File D:\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP501\A0049748.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP501\A0050802.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File F:\Datensicherung\Sicherung D\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File G:\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Kurze Frage noch zu:

Zitat

fixe auch noch
2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

Fixen heißt löschen?

EDIT von 17:50Uhr:
Bin gerade mittelschwer vewirrt,.....
Ich kann diese einträge:
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
mit HJT nicht fixen, sind immer wieder da,... was mach ich falsch?
Noch ein EDIT von 20:30Uhr:
Habe noch einen weiteren Nachtrag:
Die system.ini scheint für Windows Xp standardmäßig den Bereich [boot] nicht zu kennen (habe 2 weitere Rechner geprüft), daher auch nicht den Eintrag shell=
Kann das der Grund für die Meldung in HJT sein?
Habe spaßeshalber mal diesen Eintrag und den Bereich boot angelegt und die Fehlermeldung erscheint nicht mehr.
In der "MSCONFIG" (Start/Ausführen- msconfig eingeben) wird diese Eintragung nicht aufgeführt oder berücksichtigt.
Maybe ist der Eintrag trotz der Meldung in HJT nicht böse?
Bleibt nun noch die Frage nach:
2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,


Viele Grüße und thx,
Füchti

#14 @fluechti

1. Du musst die Wiederherstellung abstellen, booten und dann wieder aktivieren.
So verschwinden die \_restore-Eintraege
2. Ich weiss, die Eintraege koennen nicht gefixt werden....
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
Man sollte sich keine Sorgen machen, wenn ansonsten der Computer virenfrei ist.

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina,

Zitat

Sabina postete
@fluechti

1. Du musst die Wiederherstellung abstellen, booten und dann wieder aktivieren.
So verschwinden die \_restore-Eintraege

Jep, hat funktioniert, die wären dann auch weg

Zitat

2. Ich weiss, die Eintraege koennen nicht gefixt werden....
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
Man sollte sich keine Sorgen machen, wenn ansonsten der Computer virenfrei ist.

Ja, kann damit leben.
den "shell=" eintrag konnte ich fixen, indem ich einfach die system.ini um die Werte:

"
[boot]
shell=Explorer.exe
"
erweitert habe. Das bringt zwar dem System nichts, weil XP die Einträge nicht mehr kennt und das ohnehin für 16Bit Apps gilt, aber es schadet auch nicht, also auch gut

Der zweite Eintrag, die Userinit scheint nur Rechner zu betreffen, die im Netz laufen, oder auf die andere Rechner/Benutzer Zugriffsrechte haben (ist bei mir der Fall, da gibt's noch mehr) Das ließ sich auch so in der Microsoft KnowledgeBase bestätigen (daher hier zur Info für andere Interessierte und Betroffene)
Ich habe die Einträge auf meinen anderen Rechnern gefunden, und die waren alle nicht befallen, da sie zum Zeitpunkt der Infektion zum Glück abgeschaltet waren (Notebooks) Aber sowohl die, als auch meine Datensicherungsarchive hatten diese Eniträge, von daher kann ich damit leben
Ansonsten ist das System wieder clean und ich bedanke mich
noch mal herzlich dür die nette und prima Hilfe!
Bis dann,
Marcus