Win32:Tenga, Win32:Opas-P und Win32:Opas-D1 auf meinem Rechner

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.06.2006, 23:13
...neu hier

Beiträge: 7
#1 1.) Hijack-Auswertung

Logfile of HijackThis v1.99.1
Scan saved at 20:45:13, on 27.06.06
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\HIDSERV.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE
C:\PROGRAMME\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
F1 - win.ini: run=c:\windows\puta!!.com
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [avast! Web Scanner] C:\PROGRA~1\ALWILS~1\AVAST4\ASHWEBSV.EXE
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\AVAST4\ashmaisv.exe
O4 - HKLM\..\RunServices: [Hidserv] Hidserv.exe run
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [avast!] C:\Programme\Alwil Software\Avast4\ashServ.exe
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google-Suche - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin9x/AvSniff.cab
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253
2.) CleanUp

Durchgeführt, allerdings kann ich den Punkt "Delete Prefetch Files" nicht auswählen

3.) datfindbat-Auswertung

A.) System32

Datentr„ger in Laufwerk C: WINDOWS
Seriennummer des Datentr„gers: 1051-1AE6
Verzeichnis von C:\WINDOWS\SYSTEM32

FOLDER HTT 13.085 26.06.06 15:54 folder.htt
DESKTOP INI 266 26.06.06 15:54 desktop.ini

B.) Temp

Datentr„ger in Laufwerk C: WINDOWS
Seriennummer des Datentr„gers: 1051-1AE6
Verzeichnis von C:\WINDOWS\TEMP

16.686,23 MB frei

C.) Windows

Datentr„ger in Laufwerk C: WINDOWS
Seriennummer des Datentr„gers: 1051-1AE6
Verzeichnis von C:\WINDOWS

WIN INI 8.192 06.02.99 6:28 WIN.INI
WIN386 SWP 117.440.512 27.06.06 20:48 WIN386.SWP
USER DAT 2.752.544 27.06.06 20:48 USER.DAT
SYSTEM DAT 7.606.304 27.06.06 20:47 SYSTEM.DAT
FRANKIST PWL 1.244 27.06.06 20:47 FRANKIST.PWL
STI_TR~1 LOG 22.960 27.06.06 20:47 Sti_Trace.log
SCHEDLOG TXT 2.456 27.06.06 20:46 SchedLog.Txt
SYSTEM INI 2.465 27.06.06 20:46 SYSTEM.INI
WAVEMIX INI 54 27.06.06 20:46 WAVEMIX.INI
POWERPNT INI 60 27.06.06 20:46 POWERPNT.INI
NDISLOG TXT 0 27.06.06 20:46 NDISLOG.TXT
WININIT BAK 44 27.06.06 20:45 WININIT.BAK
WINDOW~1 LOG 2.635 27.06.06 20:06 Windows Update.log
IOS BAK 12.327 27.06.06 19:43 IOS.BAK
IOS INI 12.373 27.06.06 19:43 IOS.INI
MS-DOS~3 PIF 967 27.06.06 19:43 MS-DOS-Modus.PIF
TTFCACHE 8.303 27.06.06 19:41 ttfCache
SHELLI~1 916.075 27.06.06 19:41 ShellIconCache
WMSYSPR9 PRX 316.640 27.06.06 12:27 WMSysPr9.prx
ULEAD32 INI 4.618 26.06.06 23:37 ULEAD32.INI
DEFAULT SFC 74.609 26.06.06 15:56 Default.sfc
HWINFO DAT 675.872 26.06.06 15:55 HWINFO.DAT
FOLDER HTT 13.085 26.06.06 15:54 folder.htt
DESKTOP INI 266 26.06.06 15:54 desktop.ini
PROGMAN INI 0 26.06.06 15:54 progman.ini
DOSSTART BAT 44 26.06.06 15:53 DosStart.Bat
PROTOCOL INI 272 26.06.06 15:46 protocol.ini
QTW INI 76 26.06.06 15:46 QTW.INI
SYSTEM CB 116 26.06.06 15:46 SYSTEM.CB
CONTROL INI 860 26.06.06 15:46 CONTROL.INI
MSOFFICE INI 26 26.06.06 15:46 MSOFFICE.INI
SETVER EXE 19.131 26.06.06 15:46 SETVER.EXE
WINSOCK DLL 21.504 26.06.06 15:41 WINSOCK.DLL
JAVAW EXE 28.672 26.06.06 14:07 javaw.exe
JAVA EXE 24.576 26.06.06 14:07 java.exe
DELAY EXE 8.192 26.06.06 14:00 delay.exe
CTREGRUN EXE 46.080 26.06.06 13:59 Ctregrun.exe
UNDEPLOY EXE 65.536 26.06.06 13:59 UnDeploy.exe
IUN6002 EXE 737.280 26.06.06 13:58 iun6002.exe
UNINST~1 EXE 103.936 26.06.06 13:58 UninstallFirefox.exe
IEUNINST EXE 38.400 26.06.06 13:58 ieuninst.exe
CTDRVINS EXE 61.440 26.06.06 13:58 CtDrvIns.exe
BWUNIN~1 EXE 90.112 26.06.06 13:58 bwUnin-6.1.4.36-8876480L.exe
WEBDELC EXE 139.264 26.06.06 13:58 Webdelc.exe
ST6UNST EXE 76.800 26.06.06 13:58 ST6UNST.EXE
HH EXE 14.336 26.06.06 13:58 hh.exe
WSUTIL EXE 40.960 26.06.06 13:58 WSUTIL.EXE
UPA102 EXE 174.592 26.06.06 13:58 UPA102.EXE
1CCB EXE 869.376 26.06.06 13:58 1CCB.exe
UNVISE~1 EXE 86.016 26.06.06 13:58 unvise32qt.exe
UNNERO EXE 1.167.360 26.06.06 13:58 UNNERO.exe
UNVISE32 EXE 90.112 26.06.06 13:57 unvise32.exe
UNIN0407 EXE 308.224 26.06.06 13:57 unin0407.exe
ISUN0407 EXE 335.360 26.06.06 13:57 IsUn0407.exe
HPFSCHED EXE 43.008 26.06.06 13:57 hpfsched.exe
UNENG EXE 57.344 26.06.06 13:57 uneng.exe
ST5UNST EXE 76.288 26.06.06 13:57 ST5UNST.EXE
ISUNINST EXE 310.272 26.06.06 13:57 IsUninst.exe
LOADQM EXE 11.776 26.06.06 13:54 LOADQM.EXE
REGTLIB EXE 44.544 26.06.06 13:53 REGTLIB.EXE
EXTRAC32 EXE 136.192 26.06.06 13:53 EXTRAC32.EXE
ODBCINST INI 3.111 26.06.06 3:00 ODBCINST.INI
MODEMDET TXT 152 11.06.06 20:24 MODEMDET.TXT
WBDDA34I DLL 351.526 29.05.06 19:53 WBDDA34I.DLL
TWAIN001 MTX 5 08.03.06 12:04 Twain001.Mtx
CDPLAYER INI 17.384 26.02.06 1:17 CDPLAYER.INI
MOZVER DAT 12.312 20.02.06 12:07 mozver.dat
WINAMP INI 1.125 04.02.06 23:45 winamp.ini
D.) C

Datentr„ger in Laufwerk C: WINDOWS
Seriennummer des Datentr„gers: 1051-1AE6
Verzeichnis von C:\

SYS TXT 0 27.06.06 20:49 sys.txt
SYSTEM TXT 25.776 27.06.06 20:49 system.txt
SYSTEM~1 TXT 165 27.06.06 20:49 systemtemp.txt
SYSTEM32 TXT 515 27.06.06 20:48 system32.txt
AUTOEXEC BAT 581 27.06.06 20:46 AUTOEXEC.BAT
SCANDISK LOG 3.233 27.06.06 20:27 SCANDISK.LOG
DEVICE~1 LOG 2.058 27.06.06 18:28 devicetable.log
COMMAND PIF 967 27.06.06 10:06 COMMAND.PIF
BOOTLOG TXT 92.926 26.06.06 16:28 BOOTLOG.TXT
BOOTLOG PRV 83.265 26.06.06 15:57 BOOTLOG.PRV
CONFIG SYS 159 26.06.06 15:57 CONFIG.SYS
SETUPLOG TXT 125.702 26.06.06 15:55 SETUPLOG.TXT
NETLOG TXT 18.163 26.06.06 15:55 NETLOG.TXT
MSDOS SYS 1.694 26.06.06 15:53 MSDOS.SYS
DETLOG TXT 9.792 26.06.06 15:51 DETLOG.TXT
SUHDLOG DAT 5.166 26.06.06 15:46 SUHDLOG.DAT
SYSTEM 1ST 8.237.088 26.06.06 15:46 SYSTEM.1ST
MSDOS BAK 1.694 26.06.06 15:35 MSDOS.BAK
AUTOEXEC BAK 579 26.06.06 15:31 AUTOEXEC.BAK
SETUPLOG OLD 20.203 26.06.06 15:26 SETUPLOG.OLD
GZIP EXE 53.248 26.06.06 14:05 gzip.exe
CONFIG BAK 159 26.06.06 3:01 CONFIG.BAK
DETLOG OLD 10.823 26.06.06 0:45 DETLOG.OLD
YSERVER TXT 210 26.06.06 0:28 YServer.txt
SUHDLOG BAK 5.166 26.06.06 0:05 SUHDLOG.BAK
SETUPXLG TXT 3.030 11.06.06 20:24 SETUPXLG.TXT
TEMP RAW 115.946 18.05.06 17:20 temp.raw
08_03_~1 678.945 08.03.06 13:48 08_03_2006

4.) Beschreibung des Problems

Ich habe folgendes Problem, am Sonntagabend stellte ich meinen Rechner an und ging ins Netz. Ca. 10 Minuten später erhielt ich die Nachricht, das Win32:Tenga gefunden wurde. Das löschen selber brachte nichts, da sofort sämtliche Exe-Dateien befallen waren. Ich konnte das Problem lösen, indem ich es schaffte Antivir zu löschen, vorher war es mir unmöglich den Rechner hochzufahren, außer im abgesicherten Modus. Danach installierte ich Avast welches mein System durchscannte und den Virus bekämpfte. Ich bekam nach zwei Durchläufen keinerlei Hinweise mehr auf Win32:Tenga. Damit war aber nicht schluß, denn anschließend fand er ständig Win32:Opas-P und Win32:Opas-D1. Anscheinend schaffe ich es nicht sie von meinem Rechner zu bekommen. Deshalb würde ich mich freuen, falls ihr mal meine Logs durchschauen könntet, um zu schauen ob ich nicht doch noch irgendwo "Leichen im Keller" habe.
Gruß
Kartoffel
Seitenanfang Seitenende
28.06.2006, 00:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

was puta!! bedeutet ...uebersetze ich dir besser nicht... ;)

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F1 - win.ini: run=c:\windows\puta!!.com
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - (no file)
O2 - BHO: (no name) - {0B660087-931C-4056-A04F-0423890E40B6} - (no file)
O2 - BHO: (no name) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - (no file)
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} -
O16 - DPF: {CAFEEFAC-0014-0002-0006-ABCDEFFEDCBA} -
PC neustarten

Start > Ausfuehren - schreib rein:
c:\windows\win.ini
<click OK.
(der MS-DOS Editor oeffnet sich.)
in der Windows-Sektion:
halte Ausschau nach einem Eintrag:

run=c:\windows\puta!!.com

# Wenn es existier, klicke auf diesen Runeintrag run=................und loeschen\

# Click File > Speichern
# Click File > Exit.


virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\1CCB.exe
C:\WINDOWS\unvise32qt.exe

poste die scanreporte

---------------------------------------------------------------

auf dieser Seite findest du tools gegen den Tenga
http://virus-protect.org/virus/stanit.html
ich weiss nicht, ob sie auf Win98 laufen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.06.2006, 10:55
...neu hier

Themenstarter

Beiträge: 7
#3 Hi Sabina,

danke für deine Mühe, aber ich mußte dann doch den Rechner plätten und neu aufsetzen. Ich habe in der Nacht nochmal mein Windows nen bischen durchleuchtet und da ging nix mehr wirklich richtig. Aber trotzdem danke für deine Mühe.

Gruß
Kartoffel
Seitenanfang Seitenende