problem mit "internetmgr.exe"

#1 wunderschönen guten tag,

wie sich hier sicher jeder denken kann, habe ich ein problem. die sache begann vor einiger zeit, als norton antivirus bei mir irgendwo einen "irgendwas-exploit" gefunden hat. das endete nach einigem hin und her damit, daß ich mein system komplett neu aufgesetzt habe, und recht zufrieden damit war.
aber irgendwie war mir nach dem vorfall unwohl, und ich suchte nach besserem als norton - und so kam ich zu kaspersky antivirus und einer agnitum outpost firewall. allein die aussage über die großartigkeit genügte mir nicht, und ich begab mich auf der suche nach einem praxistest über google zu den zwielichtigen plätzen des netz. (jaja, schön blöd, was? wer den schaden hat, braucht für den spott nicht zu sorgen.)

das umfangreiche sicherheitspaket schlug auch sofort an. gefunden wurden trojaner in "mshta.exe, internetmgr.exe und test.exe". bis dahin kein problem, ich habe immer brav auf "löschen" geklickt, und bei anfrage der firewall dem "internetmgr.exe" die kommunikation mit dem netz gekappt.

leider werde ich die geister, die ich rief, nicht wieder los, und es geschehen seltsame dinge.
zum einen habe ich kaspersky durchlaufen lassen, und er findet nichts mehr. auch sonst sind die dateien oben nicht auffindbar. trotzdem sind sie da. hijackthis spuckt mir nämlich aus, daß "internetmgr.exe" gestartet wird.
so, und das ist schon das nächste problem. ich konnte ursprünglich auf "fix" gehen, und nach erneutem scan war der eintrag wieder da. das ging so 5 mal, und dann schmierte mein pc ab. wenn ich nach dem reset wieder in das verzeichnis gegangen bin, friert mein system ein, und ich kann nur mit dem taskmanager abbrechen( manchmal auch nicht). dann schmiert der explorer ab, und es geht wieder. das verzeichnis mit kaspersky zu scannen ergab ein exploit in einem der backup files. gut, das wurde gelöscht, und ich kam wieder in das verzeichnis, ohne das lästige einfrieren. jetzt friert das system nur noch ein, wenn ich länger in hijackthis bin.
nebenher verzeichnet meine firewall alle minute, daß besagte "internetmgr.exe" 3 verschiedene adressen anspricht - gut, das wird unterbunden, hoffe ich zumindest.

ich hoffe es hat jemand eine idee. das hijackthis log muß ich euch leider vorenthalten, ich komme im moment nicht einmal mehr an das entsprechende verzeichnis dran, ohne daß alles einfriert, ich den explorer abschieße, und dann wieder am anfang stehe.

thx

david

#2 Hallo@lichtsieb

Troj/Dloader-CC ist ein Downloader-Trojaner, der versucht, neue Programme herunterzuladen und zu installieren und vorhandene Software zu deaktivieren bzw. zu entfernen

Lade: FindIt.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/
Lade, entpacke und klicke auf: "find.bat" [ignoriere : File not found messages]
<DOS oeffnet sich -->warte den Scan ab --> es oeffnet sich der Texteditor --> und poste den Text von output.txt.

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi lichtsieb,

Reboot your computer into SafeMode.

Delete these two files:
internetmgr.exe
internetdef.dll
(the files are here --> %windir%\system32 folder, %windir% = your Windows folder)

Reboot into NormalMode. Run HijackThis and post the log.
I believe Sabina knows what to do and she will help you .
(psst, you don't need find.bat ).

#4 hallo,
danke für die umfangreiche hilfe, ich glaube sie kam zu spät.
das problem mit dem "einfrieren" hatte sich nämlich zwischenzeitlich auf diverse ordner ausgeweitet. ich habe zwar nicht herausbekommen, welche dateien beim bloßen anzeigen den systemstop bzw. das abschmieren des explorers verursacht haben, aber es passierte am ende fast in jedem ordner.
da ich auf meiner zweiten festplatte meine gesammte existenz aufbewahre (sämtliche geschäftsdaten, alle arbeiten, die komplette buchführung...) bekam ich panik und habe mich entschlossen windows abzusägen.
ich habe mir vorher aufgeschrieben, in welchen ordnern das einfrieren noch passierte, und habe die dann alle gelöscht, und windows auf der ersten festplatte neu aufgesetzt. das problem mit dem einfrieren ist jetzt behoben.
was nicht behoben ist, ist meine panik vor weiteren solcher aktionen. die kombination von kaspersky und outpost scheint meine "ich-ag" nämlich nicht sehr geschützt zu haben. gibt es da bessere lösungen? die gerne auch etwas kosten können, das wäre mir meine "ich-ag" wert.

danke trotzdem.

david

#5 Hallo@lichtsieb

Eine Glaskugel habe ich leider nicht ...wenn du nicht die Logs schickst , dann weiss ich nicht , was noch los ist auf deinem PC
(auch wenn du neu formatiert hast)
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Logfile of HijackThis v1.99.0
Scan saved at 13:24:51, on 03.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\COMMON~1\AOL\AOLSPY~1\AOLSP Scheduler.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\Winamp\winampa.exe
D:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
D:\Programme\America Online 9.0\aoltray.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\emule-morph\emule\emule.exe
D:\Programme\PowerTools 12\ptools12.exe
D:\Programme\America Online 9.0\WAOL.EXE
D:\Programme\America Online 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\AOL\aoltpspd.exe
D:\Programme\WinRARnew\WinRAR.exe
C:\DOKUME~1\zoran\LOKALE~1\Temp\Rar$EX00.656\HijackThis.exe
C:\WINDOWS\system32\notepad.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = C:\Programme\AOL Toolbar\welcome.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [AOL Spyware Protection] "C:\PROGRA~1\COMMON~1\AOL\AOLSPY~1\AOLSP Scheduler.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\System32\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray Icon.lnk = D:\Programme\America Online 9.0\aoltray.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: &AOL Toolbar search - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Programme\AOL Toolbar\toolbar.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0200f2e86349ad4fb619/netzip/RdxIE601.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54E66C81-F753-4475-9A72-3CE74B33C229}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{BC7B7F21-71D3-4D37-9240-CBE8C626EC76}: NameServer = 205.188.146.145
O17 - HKLM\System\CS1\Services\Tcpip\..\{54E66C81-F753-4475-9A72-3CE74B33C229}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{54E66C81-F753-4475-9A72-3CE74B33C229}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AOL Connectivity Service - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: WAN Miniport (ATW) Service - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe


also für meine (laienhaften) begriffe, sieht es so aus, als ob alles in ordnung wäre, oder?

#7 ------- System Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2839-781B

Verzeichnis von C:\WINDOWS\System32

03.01.2005 11:44 <DIR> dllcache
01.01.2005 20:07 <DIR> Microsoft
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 75.734.126.592 Bytes frei

------- Hidden Files in System32 Directory -------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2839-781B

Verzeichnis von C:\WINDOWS\System32

03.01.2005 11:44 <DIR> dllcache
01.01.2005 19:35 488 logonui.exe.manifest
01.01.2005 19:35 488 WindowsLogon.manifest
01.01.2005 19:35 749 nwc.cpl.manifest
01.01.2005 19:35 749 sapi.cpl.manifest
01.01.2005 19:35 749 ncpa.cpl.manifest
01.01.2005 19:35 749 wuaucpl.cpl.manifest
01.01.2005 19:35 749 cdplayer.exe.manifest
7 Datei(en) 4.721 Bytes
1 Verzeichnis(se), 75.734.126.592 Bytes frei

---------- Files Named "Guard" -------------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2839-781B

Verzeichnis von C:\WINDOWS\System32


--------- Temp Files in System32 Directory --------

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 2839-781B

Verzeichnis von C:\WINDOWS\System32

25.03.2003 06:49 45.568 OLD14.tmp
25.03.2003 06:49 8.192 OLD18.tmp
18.08.2001 20:00 2.951 CONFIG.TMP
3 Datei(en) 56.711 Bytes
0 Verzeichnis(se), 75.734.126.592 Bytes frei

---------------- User Agent ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------ Keys Under Notify ------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
"DLLName"="Ati2evxx.dll"
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000001
"Lock"="AtiLockEvent"
"Logoff"="AtiLogoffEvent"
"Logon"="AtiLogonEvent"
"Disconnect"="AtiDisConnectEvent"
"Reconnect"="AtiReConnectEvent"
"Safe"=dword:00000000
"Shutdown"="AtiShutdownEvent"
"StartScreenSaver"="AtiStartScreenSaverEvent"
"StartShell"="AtiStartShellEvent"
"Startup"="AtiStartupEvent"
"StopScreenSaver"="AtiStopScreenSaverEvent"
"Unlock"="AtiUnLockEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001