Home » Viren, Trojaner & Malware Forum » Virus, dlm.exe o.ä. von Webpage » Themenansicht

Virus, dlm.exe o.ä. von Webpage
#0
26.04.2004, 07:43
biggie
...neu hier

Beiträge: 4
#1 Also ich habe mir von einer meiner Favoriten Webpages (www.team-proud.de <--- nur mit sicherem PC besuchen!!!!) gestern einiges weggeholt. Kurz nach dem Besuch auf der Page hatte ich diverse Fenster offen, die ein Einlegen der Windows XP CD oder Zertifikatsbestätigungen verlangten, trotz ablehnen aller Anfragen und schnellem Verlassen der Page lachte mich schon bald auf dem ganzen PC Dialer und neue IE Startpages an. ;)

Im Anschluß bin ich nach Ihrem Artikel vorgegangen, um diese Fehler zu beseitigen, was beinahe gelang, jedoch habe ich seitdem immernoch arge Tastatur Probleme. De facto gehen des öfteren Tasten nicht, Ihr müsst wissen ich brauche für diesen Text hier ewig, da die Tasten unregelmässige Aussetzer haben. Es liegt nicht an der Tastatur und der Fehler besteht auch erst seit gestern Abend. ;) Bitte um baldige Hilfe und danke im Vorraus für die Antworten. Anbei noch mein Logfile wie es aktuell in Hjt besteht.

Logfile of HijackThis v1.97.7
Scan saved at 07:33:49, on 26.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\qttask.exe
C:\WINDOWS\System32\LXSUPMON.EXE
C:\WINDOWS\swchost.exe
C:\WINDOWS\System32\devldr32.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\sicherheit\hjt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.0.4:8080
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {5DAFD089-24B1-4c5e-BD42-8CA72550717B} - C:\Programme\SurfAssistant.com\saiemod.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\System32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Wandows Sturtup] C:\WINDOWS\swchost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvit.exe
O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38072.2465046296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{17A1546A-75F5-45B4-9F53-772BA0876D7A}: NameServer = 194.25.0.52,194.25.0.60
O17 - HKLM\System\CS1\Services\Tcpip\..\{17A1546A-75F5-45B4-9F53-772BA0876D7A}: NameServer = 194.25.0.52,194.25.0.60
O17 - HKLM\System\CS2\Services\Tcpip\..\{17A1546A-75F5-45B4-9F53-772BA0876D7A}: NameServer = 194.25.0.52,194.25.0.60
Seitenanfang Seitenende
26.04.2004, 10:29
paff
Member

Beiträge: 1095
#2 Hi biggie

Fixe bitte das
O2 - BHO: (no name) - {5DAFD089-24B1-4c5e-BD42-8CA72550717B} - C:\Programme\SurfAssistant.com\saiemod.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [Wandows Sturtup] C:\WINDOWS\swchost.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\Run: [WAPI] C:\WINDOWS\System32\wtssvit.exe
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Über dies hier müsste man diskutieren
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.20.0.4:8080

Wie bist du ans Internet angeschlossen.? ISDN Karte, DSL_Modem
Welchen Provider hast du ? T-online, CallbyCall

Aber normalerweise kann das gefixt werden
Ist einen Adresse aus Amerika ;)
Gruß paff



Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 26.04.2004 um 10:34 Uhr von paff editiert.
Seitenanfang Seitenende
26.04.2004, 10:36
biggie
...neu hier

Themenstarter

Beiträge: 4
#3 Danke Paff für die Antwort, der Proxy Server ist wohl noch der Rest aus einem Netzwerk, in dem man darüber ins Internet kam. Bin bei T-Online.

Ich hoffe mal dass das weiterhilft, werde es mal fixen und mich dann nochmal melden.

*EDIT*

Fühl dich vituell in den Himmel erhoben, ich danke dir von ganzem Herzen, es geht wieder alles und ein Neuinstall ist mir erspart geblieben, ich werde euch weiterempfehlen, ihr seit die einzigen die mir bisher helfen konnten und ich kenne noch genügend die Probleme damit haben. Nun noch die Dateien löschen und vielen Dank!

Ein freudiger Biggie ;)
Dieser Beitrag wurde am 26.04.2004 um 10:44 Uhr von biggie editiert.
Seitenanfang Seitenende
26.04.2004, 10:43
paff
Member

Beiträge: 1095
#4 Hi biggie

Mach bitte nach dem Fixen einen Neustart um zu schauen ob wirklich alles weg ist.

Dann kannst du die Dateien auch löschen.
außer der "Updreg.exe", die gehört zur Soundkarte.

Viel Glück

paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
26.04.2004, 10:50
biggie
...neu hier

Themenstarter

Beiträge: 4
#5 Also nach Neustart und Hjt Durchlauf ist keiner der Einträge mehr in der Liste, ich habe, wie von dir beschrieben die Dateien gelöscht (Ausnahme Updreg.exe). Ich hoffe sowas passiert nicht wieder, mir hatte schon der Welchia Wurm gereicht ;)

Was aber interessant wäre für mich (und meine Mitspieler) ist, wie dieser Virus auf unsere Page kommen konnte. :/
Seitenanfang Seitenende
26.04.2004, 10:57
paff
Member

Beiträge: 1095
#6 Hi Biggie

Du sollest dir auf jedenfall mal einen Virenscanner zulegen
www.antivir.de
ist ganz OK und Umsonst für Privatanwender.

Wegen eurer Website.

Da würde ich echt nachforschen. Sonst kriegt ihr vielleicht bald wieder "Besuch".
Auch der ICQ ist ein recht unsicherer Kanditat. Holt man sich schnell was.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
26.04.2004, 13:33
biggie
...neu hier

Themenstarter

Beiträge: 4
#7 Hm ok, müssen wir mal nachguggn, wer sowas macht ;)

Hier das Log vom nächsten ausm Team:

Logfile of HijackThis v1.97.7
Scan saved at 13:25:26, on 26.04.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Dokumente und Einstellungen\Alexander Saile.ALEX\Anwendungsdaten\soht.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\NoNameScript\mirc.exe
C:\Dokumente und Einstellungen\Alexander Saile.ALEX\Desktop\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.w201.com/hmportal.php?sid=
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Alexander Saile.ALEX\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\System32\wnsintsv.exe
O4 - HKLM\..\RunOnce: [Ad-aware] "C:\PROGRA~1\AD-AWA~2\Ad-aware.exe" "+b1"
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{04E23E3E-837E-4C66-8CA9-B9043F829624}: NameServer = 217.237.149.161 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{04E23E3E-837E-4C66-8CA9-B9043F829624}: NameServer = 217.237.149.161 194.25.2.129
O17 - HKLM\System\CS2\Services\Tcpip\..\{04E23E3E-837E-4C66-8CA9-B9043F829624}: NameServer = 217.237.149.161 194.25.2.129
Seitenanfang Seitenende
26.04.2004, 13:45
paff
Member

Beiträge: 1095
#8 Ok einmal noch ;)

Das fixen
F1 - win.ini: run=C:\WINDOWS\system32\services\wmplayer.exe

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
Das kommt von KaZaa

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [PowerProf] PowerProf.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\Alexander Saile.ALEX\Anwendungsdaten\soht.exe
O4 - HKCU\..\Run: [WNSC] C:\WINDOWS\System32\wnsintsv.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Gruß paff

P.S.
Jeder sollte das mal durchführen
http://board.protecus.de/t9373.htm
Das hilft schon viel
und www.windowsupdate.com
Alle Updates machen
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 26.04.2004 um 13:47 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1