Rechner verschickt Emails-ohne das Outlook offen ist/Troj/Banker-Y

#0
11.11.2004, 12:45
Member

Beiträge: 39
#1 Hallo,

unser Arbeitsrechner ist offensichtlich verseucht, es ist Ad-Aware SE 1.05, Norton 2002, Stinger, Hijackthis und Spybot S&D installiert. Wenn der Rechner online ist, verschickt er selbständig Mails, das sehe ich an der Benachrichtigung von Symantec - "Ihre Email wird verschickt", nur leider ist nichtmal Outlook offen!
Viren werden nicht gefunden, Ad-Aware findet nichts, der Spybot hat ein paar Kleinigkeiten gefunden, u.a. einen Dialer. Diesen habe ich eben entfernt.

Wäre toll wenn mir hier geholfen würde, da der Rechner ziemlich gelähmt wird durch dieses selbständige Email verschicken. Wir wissen nicht einmal wo diese Mails hingehen...

Log von Hijackthis:

C:\Programme\Teledat\IWatch.exe
C:\Programme\Teledat\TelVox32.exe
C:\Programme\Netropa\OSD.exe
C:\WINDOWS\Nhksrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WFXSVC.EXE
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\WinFax\FAXMNG32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 5.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\USER--------\Desktop\Anti Spyware\stinger.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Dokumente und Einstellungen\USER--------\Desktop\Anti Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://thenewsearch.com/thenewsearch.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm
O2 - BHO: (no name) - {00000000-663f-49e8-bdf6-f26db51c7dd5} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~2\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QD FastAndSafe] C:\PROGRA~1\NORTON~2\NORTON~3\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll



Danke im vorraus!
Dieser Beitrag wurde am 16.11.2004 um 15:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.11.2004, 15:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@

Du hast einen StartseitenTrojaner. [Win32/Dialer.NAD Trojaner]


#Oeffne das HijackTHis< scan< anhaken < Button "Fix checked" < PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://thenewsearch.com/thenewsearch.html*
O2 - BHO: (no name) - {00000000-663f-49e8-bdf6-f26db51c7dd5} - (no file)

neustarten

Suche und loesche:
<RdgPT1342.exe

um das zu loeschen:
<C:\Documente~1\Username\Locals~1\temp\erg9kcun.exe (?)
<C:\Documente~1\Username\Locals~1\temp\68wx6xlx.exe (?)
loesche die Temporaeren Dateien:
#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporary Internet Files/TEMPORÄRE INTERNET DATEIEN, O.K
#Click:TEMPORÄRE DATEIEN, O.K.

#eScan-Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp
<Das eScan AV Toolkit (mwav.exe) herunterladen, oeffnen, aber nicht scannen
danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten,

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.11.2004 um 15:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.11.2004, 15:42
Member

Themenstarter

Beiträge: 39
#3 Hi Sabina,

ich konnte den E-Scan aus Zeitgründen nicht ganz durchlaufen lassen, folgendes nach ca 60%, Rest folgt, vielleicht war es das aber auch.
Ich habe heute ein neues Norton System works 2005 erhalten und installiert.
Dieses hat nur einen Virus entfernt (Adware blabla), also werden andere noch drauf sein. Wie können wir uns hier besser schützen?



File C:\WINDOWS\System32\eplrr3.dll infected by "TrojanProxy.Win32.Small.ah" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\eplrr3.dll infected by "TrojanProxy.Win32.Small.ah" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\C9.tmp tagged as not-a-virus:pornWare.Dialer.Generic. No Action Taken.

File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\ICD1.tmp\ied.exe infected by "TrojanDownloader.Win32.Mediket.b" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\USER------\Lokale Einstellungen\Temp\temp.fr90F6 tagged as not-a-virus:AdWare.ToolBar.Tubby.b. No Action Taken.

File C:\Downloads\Download DivX\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\ied_s7m.cab infected by "TrojanDownloader.Win32.Mediket.b" Virus. Action Taken: No Action Taken.
Seitenanfang Seitenende
16.11.2004, 01:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@drnoodle

Auf Norton kannst du meiner Meinung nach verzichten, er taugt nichts.

#eScan-Trial...dann eine Jahreslizenz erwerben (ist nicht teuer)
ftp://update.mailscan.info/download/tools/
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

Die Viren loescht du so:
oeffne das HijackThis:
<HijackThis-->Config-->Misc Tools-->Delete a file on reboot
kopiere rein:
C:\WINDOWS\System32\eplrr3.dll
PC neustarten

loesche manuell (oder mit dem HijackThis;) C:\ied_s7m.cab
............................................
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:

# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
...................................................

Datentraegerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

Dann muesste alles wieder o.k. sein.
Poste also das neue Log vom HijackThis noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.11.2004 um 01:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.11.2004, 10:41
Member

Themenstarter

Beiträge: 39
#5 Danke für deine Hilfe... hier der neue LOG.



Logfile of HijackThis v1.98.2
Scan saved at 10:41:19, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\DELLMMKB.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Netropa\OSD.exe
C:\Programme\Teledat\TelFax32.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Teledat\TelVox32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\USER-----\Desktop\Anti Spyware\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161
O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll (file missing)
Seitenanfang Seitenende
16.11.2004, 11:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo@

Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden.


Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird.

lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten:

'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold',
'pecunix', 'moneybookers.com'.

Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet.

lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten.

Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\eplrr =

HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll

(wobei <CLSID> variabel ist.)

Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert:

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\First Home Page
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL

eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter.

Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden.

----------------------------------------------------------------------------------
Gehe in die Registry
Start<Ausfuehren<regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
ShellServiceObjectDelayLoad\
loesche:
eplrr =

HKCR\CLSID\<CLSID>\InprocServer32 =
loesche:
%SYSTEM%\eplrr.dll

Oeffne das HijackThis-->> Button "scan" -->> Haekchen setzen -->> Button "Fix checked" -->> PC neustarten

O21 - SSODL: eplrr - {F055963D-C326-4A99-8925-F607CE8CE2D6} - C:\WINDOWS\System32\eplrr3.dll (file missing) [Troj/Banker-Y]

neustarten

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\System32\lsd_f3.dll
PC neustarten

#Start<Ausfuheren<cmd

kopiere in das DOS-Fenster::
attrib -h %systemroot%\System32\eplrr3.dll & ren %systemroot%\System32\eplrr3.dll Badfile.bad

HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
In dem Fenster bei Dateiname einfügen\reinkopieren:
C:\WINDOWS\System32\eplrr3.dll
PC neustarten
...................................................................................................

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren
#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Suchfunktion von Windows:

1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen

suche \loesche;)Windows.Suchfunktion:
<filtmp [filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht]
<tmpf [ tmpf??.exe (wobei ?? für eine zweistellige Zahl steht]


Dann poste das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.11.2004 um 11:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.11.2004, 11:51
Member

Themenstarter

Beiträge: 39
#7 ehm... wir machen von dem rechner aus Online Banking... sollten wir wohl mal alle Kontoauszüge prüfen?! örx... ich mache jetzt mal alles was du gepostet hast und poste die log. sag mir dann bescheid, wenn online banking wieder sicher ist - davor wird nichts mehr überwiesen.
Seitenanfang Seitenende
16.11.2004, 11:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Gott..ueberpruefe das !!!!!!!!!!!!!! und aendere alle Daten/Passworte, wenn der PC sauber ist.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.11.2004, 12:11
Member

Themenstarter

Beiträge: 39
#9 von allen zugängen??

in der registry wurde nichts unter CLSID gefunden. Auch bei Highjackthis war kein eintrag mehr .

edit:
unter command wurde auch nichts gefunden.
Dieser Beitrag wurde am 16.11.2004 um 12:44 Uhr von drnoodle editiert.
Seitenanfang Seitenende
16.11.2004, 12:51
Member

Themenstarter

Beiträge: 39
#10 Habe von den angegebenen Daten nichts mehr finden können, ausser der die man mit Hijackthis vor systemstart löschen sollte. neuer Log.


Logfile of HijackThis v1.98.2
Scan saved at 12:51:05, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\SYSTEM32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
C:\WINDOWS\DELLMMKB.EXE
C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Netropa\OSD.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Teledat\IWatch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NSMdtr.exe
C:\Dokumente und Einstellungen\USER -----\Desktop\Anti Spyware\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tom_nick.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE
O4 - HKLM\..\Run: [B'sCLiP] C:\PROGRA~1\B'SCLI~1\Win2K\BSCLIP.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Controller.LNK = C:\Programme\WinFax\WFXCTL32.EXE
O4 - Global Startup: Fax.lnk = C:\Programme\Teledat\TelFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Vox.lnk = C:\Programme\Teledat\TelVox32.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{270571E6-CC81-418D-AFBD-6D762C2413CD}: NameServer = 217.237.150.33 217.237.151.161
Seitenanfang Seitenende
16.11.2004, 13:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 <o.k. scanne noch mal mit Escan und berichte.
<aendere alle Daten/Passworte, wenn der PC sauber ist.
denn alle Die gespeicherten Daten vom Trojaner werden via HTTP an einen remoten Speicherort gesendet.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.11.2004 um 13:57 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.11.2004, 13:59
Member

Themenstarter

Beiträge: 39
#12 habe e-scan installiert und durchlaufen lassen. soll ich norton internet security wieder deinstallieren? hat uns 80 euronen gekostet der sch****!
was kostet denn ein reg-key für e-scan?

ich lass eben nochmal scannen... vorhin hat er aber nicht gemeckert.

Alle Passwörter zu ändern ist eine Aufgabe... Email, FTP, Homepage :/
Das wird ne Lebensaufgabe. Bankzugang kann man ja auch nicht so einfach ändern, das muss die Bank selbst machen. Da gibt es ja zum Glück noch TAN...
naja ich werd versuchen alles zu ändern.

Viren halten die Wirtschaft echt auf trab... wenn ich irgendwann mal einen Programmierer zu fassen bekomme, dann gnade ihm... wir müssen hier arbeiten--- jeder Betrieb braucht ja fast einen IT Menschen ;)

ich habe eben noch mozilla firefox installiert, bekomme aber immer die meldung: verbindung zurück gesetzt.

E-Scan hat noc heinen gefunden und gelöscht:
Trojan-Downloader.Win32.Mediket.d
Dieser Beitrag wurde am 16.11.2004 um 14:39 Uhr von drnoodle editiert.
Seitenanfang Seitenende
16.11.2004, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo@

ein Informatiker (Sicherheitsspezialist) ist eine gute Idee fuer eine Firma mit grossem Net.Volumen.
Wie helfen hier , aber es ist schon was anderes, wenn man selbst am teckeln ist (also am PC sitzt) oder alles per Schriftverkehr abwickelt)

#eScan-Trial
ftp://update.mailscan.info/download/tools/
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
(ist ein Jaehrliches Abo...27 Dollar ???), bin mir nicht sicher, musst du selbst rausfinden.
Dem Symantec-Virenscanner wuerde ich nicht vertrauen...ist absoluter Schrott. :p )
Verkauf ihn bei .....eBay ;) (war ein Spass)

microsoft.public.de.security.heimanwender FAQ
http://faq.underflow.de/#SECTION000110000000000000000

#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.11.2004 um 14:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.11.2004, 15:02
Member

Themenstarter

Beiträge: 39
#14 wieso nicht bei ebay verkaufen, zurückgeben können wir das ja eh nicht mehr. ;)

e-scan scheint wirklich besser zu sein, hat ja eben auch nochmal einen virus gefunden.

kannst du mir noch eines erklären? der neue browser firefox kann keine internet verbindung herstellen. wird immer zurückgewiesen. ich hab aber nach installatio nnoc hkeinen reboot gemacht, da e-scan noch zugange ist. oder mag das xp-sp2 den neuen browser nicht leiden... ;)

wo kann ich dir eigentlich ein strauss blumen hinschicken für die nette hilfe? ;)
Seitenanfang Seitenende
16.11.2004, 16:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Eigentlich muesste der Firefox funktionieren, wenn du ihn als Standardbrowser einstellst.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
wenn alles sauber ist, boote und aktiviere ihn wieder.
..............................................................................................................
Die Blumen werden verwelkt sein, wenn sie bei mir ankommen, aber dennoch vielen Dank fuer die nette Geste ;)

mfg
Gruss aus Lissabon
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.11.2004 um 16:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: