TR/StartPa.DU.DLL.1 und vielleicht mehr.

#0
14.06.2005, 18:14
Member

Beiträge: 22
#1 Also ich habe ein paar probleme mit dem besagten TR/StartPa.DU.DLL.1
Ich denke das es nur dieser ist kann aber sein das es mehr sind. ICh hoffe mir verzeihen die Admins, dass ich auch wieder mit diesem TR/StartPa.DU.DLL.1 anfange und das ich hier mehrfache beiträge hintereinander poste. Kann nur keine langen Texte verschicken. Hoffe ich finde hier hilfe indem mir hier jemand eine antwort schreibt damit ich weiter posten kann. Danke.

Logfile of HijackThis v1.99.1
Scan saved at 20:51:38, on 14.06.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Dieser Beitrag wurde am 14.06.2005 um 21:43 Uhr von Honor editiert.
Seitenanfang Seitenende
14.06.2005, 20:42
Member

Beiträge: 1132
#2 Hallo Honor,

versuche zunächst einmal Folgendes, damit man sich ein Bild machen kann, was auf Deinem Rechner vor sich geht:

HijackThis 1.99.1 herunterladen
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Entpacke das Programm in einem eigenen Ordner.
Starte das Programm mit der HijackThis.exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
14.06.2005, 20:56
Member

Themenstarter

Beiträge: 22
#3 C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZLCLIENT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\ADDXL.EXE
C:\WINDOWS\SYSTEM\ADDXL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\ARCORDSL\ARCORDSL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\NETPI32.EXE
C:\WINDOWS\DESKTOP\VIRENSCANNER,ETC\HIJACKTHIS.EXE

Kann mehr posten wenn ihr wieder antwortet weil es ja hier diese Sperre gibt das man nicht zwei hintereinander schreiben kann. Danke
Dieser Beitrag wurde am 14.06.2005 um 21:21 Uhr von Honor editiert.
Seitenanfang Seitenende
14.06.2005, 21:19
Member

Beiträge: 1132
#4 Du kannst auch Deinen Beitrag editieren (in der Fußzeile Deines Beitrages "Editieren") und so das vollständige Log nacheinander in kleineren Portionen posten und so immer wieder anfügen bis es komplett ist.
Der Kopf des Logs fehlt in Deinem ersten Posting, in dem die HJT Version und die Infos über dein Beitriebsystem aufgeführt sind. Den bitte auch oben anfügen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
14.06.2005, 21:24
Member

Themenstarter

Beiträge: 22
#5 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R3 - Default URLSearchHook is missing

Das mit dem editieren funzt nicht so richtig
Gruß Honor
Seitenanfang Seitenende
14.06.2005, 21:29
Member

Beiträge: 1132
#6 Das wird umständlich und erschwert die Auswertung!
Deshalb mein Vorschlag: kopiere das Log auf eine Diskette und poste es von einem sauberen Rechner hier in den Thread.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
14.06.2005, 21:31
Member

Themenstarter

Beiträge: 22
#7 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {D90602DA-1543-5F01-372E-50C3C44A8979} - C:\WINDOWS\SYSTEM\NTGE32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [NETPI32.EXE] C:\WINDOWS\NETPI32.EXE
Dieser Beitrag wurde am 14.06.2005 um 21:52 Uhr von Honor editiert.
Seitenanfang Seitenende
15.06.2005, 15:19
Member

Themenstarter

Beiträge: 22
#8 O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ADDXL.EXE] C:\WINDOWS\SYSTEM\ADDXL.EXE /s
O4 - HKLM\..\RunServices: [JAVAFZ.EXE] C:\WINDOWS\SYSTEM\JAVAFZ.EXE /s
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

Danach hab ich noch Einträge. Das waren bei weitem noch nicht alle.
Seitenanfang Seitenende
15.06.2005, 18:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9

Zitat

Sabina postete
Honor

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\sokhl.dll/sp.html#55135
R3 - Default URLSearchHook is missing
O2 - BHO: Class - {D90602DA-1543-5F01-372E-50C3C44A8979} - C:\WINDOWS\SYSTEM\NTGE32.DLL
O4 - HKLM\..\Run: [NETPI32.EXE] C:\WINDOWS\NETPI32.EXE
O4 - HKLM\..\RunServices: [ADDXL.EXE] C:\WINDOWS\SYSTEM\ADDXL.EXE /s
O4 - HKLM\..\RunServices: [JAVAFZ.EXE] C:\WINDOWS\SYSTEM\JAVAFZ.EXE /s

PC neustarten

loeschen:
C:\WINDOWS\NETPI32.EXE
C:\WINDOWS\SYSTEM\NTGE32.DLL
C:\WINDOWS\sokhl.dll
C:\WINDOWS\SYSTEM\ADDXL.EXE
C:\WINDOWS\SYSTEM\JAVAFZ.EXE

•Antivirus (free)
http://virus-protect.org/antivirenfree.html
Nach dem Installationsscan (in Ruhe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

ClaerProg..lade die neuste Version <1.5.1
http://virus-protect.org/temp.html
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Verlauf
- Temporäre Internetfiles (Cache)
- URLs
- index.dat

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

poste dann bitte den Report vom Scan (antivirus)

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.06.2005, 21:21
Member

Themenstarter

Beiträge: 22
#10 Vielen Dank für eure Hilfe. Der Trojaner ist weg und auch die ganzen Dateien die er betroffen hatte. Danke für die Ausführlichkeit. Super das ich dieses Forum gefunden habe. Wirklich ein Lob an euch.
Seitenanfang Seitenende
06.07.2005, 09:56
...neu hier

Beiträge: 2
#11 Hi,
habe inzwischen Hilfe gefunden und das Problem lösen können.

Gruß


Guten Morgen,
habe auch den TR/StartPa.DU.DLL.1 gefangen. Ich kann ihn trotz durchführen einiger der hier aufgelisteten Maßnahmen nicht eliminieren. Hier mein HijackThis Logfile mit Bitte um Hilfe.

(Die Einträge 02-BHO ... und 04-HKLM sdkkj.exe tauchen am Ende des Prozederes immer wieder auf)

Logfile of HijackThis v1.97.7
Scan saved at 09:19:44, on 06.07.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\sdkms.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\Iomega\System32\ActivityDisk.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Dantz\Retrospect\retrorun.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\ZipToA.exe
C:\WINNT\Explorer.EXE
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\AVPERS~1\AVSched32.EXE
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe
C:\WINNT\MXOaldr.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\sdkkj.exe
C:\WINNT\system32\internat.exe
C:\Programme\Iomega\AutoDisk\AD2KClient.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Internet_CleanUp\HijackThis.exe

O2 - BHO: (no name) - {6B3FC45B-5235-B847-9B1B-AF6035D04FBB} - C:\WINNT\system32\cryq.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\PROGRA~1\AVPERS~1\AVSched32.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MaxtorCombo] "C:\PROGRA~1\Dantz\RETROS~1\ComboButton.exe"
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINNT\MXOaldr.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinAuth] C:\WINNT\winlogon.exe
O4 - HKLM\..\Run: [Ad-aware] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe" +c
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\Programme\Internet Explorer\IEXPLORE.EXE
O4 - HKLM\..\Run: [sdkkj.exe] C:\WINNT\system32\sdkkj.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Iomega Active Disk] C:\Programme\Iomega\AutoDisk\AD2KClient.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: Hamster.lnk = C:\Programme\Hamster\hamster progr\Hamster.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: ORiNOCO Client Manager.lnk = C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
O4 - Global Startup: Statusmonitor.lnk = C:\Programmdateien\XEROX_XD\ENGSS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://active.macromedia.com/director/cabs/sw.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37865.439212963
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
Dieser Beitrag wurde am 07.07.2005 um 14:14 Uhr von Peter-33 editiert.
Seitenanfang Seitenende
09.07.2005, 01:54
...neu hier

Beiträge: 1
#12 hallo zusammen,

mich hats auch erwischt. könnt ihr mir helfen?


Logfile of HijackThis v1.99.1
Scan saved at 17:39:51, on 08.07.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\NETAT.EXE
C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\MSHTA.EXE
C:\WINDOWS\SYSTEM\CSMSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\NETWI.EXE
D:\SICHERHEIT\SPYBLOCKER.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\FRITZ!\FRIFAX32.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\MEDION\SCANPANEL\SCNPANEL.EXE
C:\PROGRAMME\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ciiec.dll/sp.html#55135
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://193.125.201.50
R3 - Default URLSearchHook is missing
F1 - win.ini: run=fntldr.exe hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Class - {499CBA68-0CDC-4376-9119-E07B6BD9CBB4} - C:\WINDOWS\CREG.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\SYSTEM\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [winmain] winmain.exe
O4 - HKLM\..\Run: [cmssSystemProcess] c:\windows\system\csmss.exe
O4 - HKLM\..\Run: [IEXPLORE.EXE] C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
O4 - HKLM\..\Run: [NETWI.EXE] C:\WINDOWS\SYSTEM\NETWI.EXE
O4 - HKLM\..\Run: [SpyBlocker] D:\SICHERHEIT\spyblocker.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [NETAT.EXE] C:\WINDOWS\SYSTEM\NETAT.EXE /s
O4 - HKLM\..\RunServices: [KB891711] C:\WINDOWS\SYSTEM\KB891711\KB891711.EXE
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: Erinnerungen für Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: ScanPanel.lnk = C:\Programme\Medion\ScanPanel\ScnPanel.exe
O4 - Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
Seitenanfang Seitenende
09.07.2005, 09:41
...neu hier

Beiträge: 2
#13 Hallo Pascal 70
Hier scheint Urlaubssaison zu sein. Habe mit dem gleichen Problem letzte
Woche keine Hilfe finden können.
Was ich Dir anbieten kann sind meine Erfahrungen als leidgeprüfter PC-Nutzer.

1. Falls Englisch Dich nicht stört, kannst Du eine Lösung zu Deinem Problem bei security-forums.com finden durch ein entsprechendes Posting.

2. Falls doch, kannst Du auf die Postings unter http://www.security-forums.com/forum/viewtopic.php?p=187359#187359 gehen, und Dir dort zumindest durchlesen, wie mein Problem gelöst wurde.

3. Ansonsten kannst Du auch schon mal mit malwareupload.com anfangen, und dort Deine hjt Logs analysieren lassen.

**************
Generelle Erfahrungen zu Punkt 2
- die dort beschriebenen Programme (Spybot, Adaware, Panda etc.) haben
schon viele Dinge auf meinem Rechner repariert, ohnedaß ich gleich in die registry einsteigen mußte.
- es ist wichtig zu wissen, daß immer der gleiche Ablauf einzuhalten ist.
>>Identifikation der zu löschenden Dateien
>> Start im gesicherten Modus und löschen der Dateien
>> Start im normalen Modus und Kontrolle über hjt, ob alles erwischt
wurde, oder der T wieder neue Einträge vorgenommen hat.
Für mich waren zunächst die immer wieder neu auftretenden Dateien im hjt etwas verwirrend.
- falls machbar, solltest Du den infizierten Rechner vom Netz nehmen, und über einen separaten Rechner kommunizieren, die Programme downloaden etc.
Zumindest bei mir wurde der Trojaner bei laufender Internetverbindung und offenem IE sehr aktiv. Eine systematische Säuberung wird dadurch nicht einfacher.

**************

Und nun viel Geduld und Erfolg.

Peter-33
Seitenanfang Seitenende
15.11.2005, 02:32
...neu hier

Beiträge: 1
#14 Jo - moin ;)
ich habe mir eigentlich so alles zu diesem anscheinend sehr "beliebten" Trojaner durchgelesen und auch zu den verdächtigen Dateien in der HijackThis-log. Nun kann man ja leider nicht alle angegebenen Beispiele auf seinen eigenen Rechner beziehen. Deswegen nun auch eine log von mir, den Rest habe ich abgeschnitten, da er bisher eh nie Verwendung fand glaube ich:
alle O4 kenne ich

Logfile of HijackThis v1.99.1
Scan saved at 16:56:06, on 14.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\ClearLog.exe
C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Tivoli\lcf\bin\w32-ix86\mrt\lcfd.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Symantec\Ghost\ngserver.exe
C:\Program Files\OfficeScan NT\ntrtscan.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\RCSERV.EXE
C:\Program Files\OfficeScan NT\tmlisten.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\Program Files\UltraVNC\WinVNC.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\OfficeScan NT\OfcPfwSvc.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\PROGRAM FILES\OFFICESCAN NT\0FCD0G.EXE
C:\WINNT\System32\alg.exe
C:\Program Files\Citrix\ICA Client\ssonsvr.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Program Files\OfficeScan NT\pccntmon.exe
C:\Program Files\Tivoli\lcf\dat\1\Mobile\mobile.exe
C:\WINNT\mspc32.exe
C:\WINNT\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINNT\system32\sysmp32.exe
C:\WINNT\HoverSnap.exe
C:\WINNT\ShareEnum.exe
C:\WINNT\Tcpview.exe
C:\WINNT\system32\procexp.exe
C:\Program Files\Security Task Manager\TaskMan.exe
C:\totalcmd\TOTALCMD.EXE
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\GetRight\GETRIGHT.EXE
C:\Program Files\GetRight\GETRIGHT.EXE
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Program Files\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = c:\winnt\svmcr.dll/sp.html#14044
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxyconf.firmenseite.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
local.,
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {0BF43B7A-9CEA-2277-D4D4-E86B5BA8D7B5} - C:\WINNT\ntke32.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Program Files\GetRight\xx2gr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Class - {9FD04F83-3A3C-1515-ABD4-4260053366C5} - C:\WINNT\sdkek.dll
O2 - BHO: Class - {E07AE911-ABFC-1C43-AC8A-4A5E37895284} - C:\WINNT\appau.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
.....
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
.....
O10 - Unknown file in Winsock LSP: c:\program files\bonjour\mdnsnsp.dll
O13 - WWW. Prefix: http://ehttp.cc/?
.....

Anhand meiner Recherchen würde ich damit beginnen, R1 - O3 zu fixen, bis auf
die letzten beiden R1, O2 - ...SDHelper.dll und O2 - ...GetRight

Unglücklicherweise MUß ich IE verwenden ;)

Ich wäre Euch wirklich sehr dankbar, wenn Ihr mir helfen könnt.[/img]
Dieser Beitrag wurde am 15.11.2005 um 02:38 Uhr von SorgenKind editiert.
Seitenanfang Seitenende
15.11.2005, 11:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@SorgenKind

das ist so einiges drauf......

mache bitte folgendes:

CCleaner
http://virus-protect.org/temp.html
lösche alle temp-Dateien

arbeite das ab und kopiere hier die 4 txt-Dateien
http://virus-protect.org/datfindbat.html

ADS Spy (scanne (noch nichts loeschen)--> und kopiere hier den scanreport)
http://bilder.informationsarchiv.net/Nikitas_Tools/ADSSpy.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende