willkürliche Startseiten, Hab ich einen Win32-Download-Trojaner?? |
Willkommen, Gast ( Anmelden | Registrierung )
willkürliche Startseiten, Hab ich einen Win32-Download-Trojaner?? |
03.07.2004, 17:53
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.137 |
Könnt Ihr mir bitte helfen?? Beim Start des IE verändert sich jedesmal
die Startseite!! Hier wär mein hijack-log: Logfile of HijackThis v1.97.7 Scan saved at 18:55:33, on 03.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\atlxv32.exe C:\WINDOWS\iedx.exe C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ecxdw.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ecxdw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ecxdw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {AD558823-F711-D52F-CF3D-E2058029C0DD} - C:\WINDOWS\system32\crjo.dll O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [iedx.exe] C:\WINDOWS\iedx.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: Netilla App Component - https://www1.remotegw.de/tarantella/java/ttaA-du.cab O16 - DPF: Netilla FileHandler Applet - https://www1.remotegw.de/webapp/webfile/FileHandler.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab |
|
|
03.07.2004, 17:57
Beitrag
#2
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Bitte diesen Prozess über den Taskmanager terminieren: iedx.exe
Dann fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ecxdw.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ecxdw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ecxdw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ecxdw.dll/sp.html#96676 O2 - BHO: (no name) - {AD558823-F711-D52F-CF3D-E2058029C0DD} - C:\WINDOWS\system32\crjo.dll O4 - HKLM\..\Run: [iedx.exe] C:\WINDOWS\iedx.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe O16 - DPF: Netilla App Component - https://www1.remotegw.de/tarantella/java/ttaA-du.cab O16 - DPF: Netilla FileHandler Applet - https://www1.remotegw.de/webapp/webfile/FileHandler.cab Die Dateien C:\windows\iedx.exe und C:\windows\system32\crjo.dll bitte an virus@rokop-security.de schicken. -------------------- Grüße, Jörg
|
|
|
Gast_Witti_* |
03.07.2004, 17:58
Beitrag
#3
|
Gäste |
Das sollte Dir weiterhelfen: http://www.rokop-security.de/main/article.php?sid=746
|
|
|
03.07.2004, 18:04
Beitrag
#4
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
QUOTE(Witti @ 3. July 2004, 18:57) Das sollte Dir weiterhelfen: http://www.rokop-security.de/main/article.php?sid=746 Der Cleaner dürfte mit der "96676er-Variante" nicht funktionieren -------------------- Grüße, Jörg
|
|
|
03.07.2004, 18:17
Beitrag
#5
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.137 |
Habe Dir " crjo.dll " geschickt; " iedx.exe " kann ich nicht mehr finden!!
Fixen war erfolglos; nach Neustart gleiches Problem ; dll.Dateien heißen nur anders! Bin leider (Fast-)Laie! |
|
|
03.07.2004, 18:21
Beitrag
#6
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Die IEDX.EXE existiert definitiv auf Deinem Rechner. Starte bitte in den abgesicherten Modus (wie das geht, steht hier).
Starte dann bitte nochmal Hijackthis und fixe die Einträge nochmals. Suche dann bitte im Windows-Verzeichnis die Datei iedx.exe (versteckte Dateien anzeigen lassen!). Edit: In Deiner Mail fehlte leider das Attachment Der Beitrag wurde von Joerg bearbeitet: 03.07.2004, 18:21 -------------------- Grüße, Jörg
|
|
|
03.07.2004, 18:41
Beitrag
#7
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.137 |
hallo joerg!
hab dir die 2 Dateien gemailt! vorsichtshalber das aktuelle log: Logfile of HijackThis v1.97.7 Scan saved at 19:44:01, on 03.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\atlxv32.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe C:\Programme\Lexmark X74-X75\lxbbbmgr.exe C:\Programme\Lexmark X74-X75\lxbbbmon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\addhs.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\DeTeMedien\Das Telefonbuch für Deutschland\OMAlarm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Chris\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mgnwp.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mgnwp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mgnwp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O2 - BHO: (no name) - {499058A7-F0B4-874D-B850-C29E7394C647} - C:\WINDOWS\d3io32.dll O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe" O4 - HKLM\..\Run: [Lexmark X74-X75] "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [addhs.exe] C:\WINDOWS\system32\addhs.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: OfficeManager Terminerinnerung.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab |
|
|
03.07.2004, 18:54
Beitrag
#8
|
|
Orakel-Profi Gruppe: Freunde Beiträge: 5.200 Mitglied seit: 07.12.2003 Wohnort: Weiden (Oberpfalz) Mitglieds-Nr.: 256 Betriebssystem: Linux Mint 17.1 |
Beide Dateien waren infiziert.
Bitte befolge die Schritte, die in diesem Thread aufgeführt sind: http://www.rokop-security.de/board/index.php?showtopic=3867 Anschließend (ohne vorher den IE zu starten) in den abgesicherten Modus starten und fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mgnwp.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mgnwp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mgnwp.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\mgnwp.dll/sp.html#96676 O2 - BHO: (no name) - {499058A7-F0B4-874D-B850-C29E7394C647} - C:\WINDOWS\d3io32.dll O4 - HKLM\..\Run: [addhs.exe] C:\WINDOWS\system32\addhs.exe -------------------- Grüße, Jörg
|
|
|
03.07.2004, 20:31
Beitrag
#9
|
|
War schon oft hier Gruppe: Mitglieder Beiträge: 63 Mitglied seit: 02.05.2003 Wohnort: Bielefeld Mitglieds-Nr.: 74 Betriebssystem: WinXP Pro SP2 Virenscanner: AVIRA Firewall: - |
Das 'dürfte' die Network Security Service-Variante sein.
Falls das löschen mit eScan keinen Erfolg hatte, bitte zunächst unter Systemsteuerung-->Verwaltung-->Dienste den Dienst Network Security Service oder auch Netzwerk Sicherheitsdienst beenden und deaktivieren und nachschauen, welche Datei zu diesem Dienst gehört. Diese Datei sollte mit eScan eigentlich gefunden werden. Wenn nicht manuell löschen und dann wie bereits beschrieben fortfahren. -------------------- Gruß,
Lutz |
|
|
03.07.2004, 21:07
Beitrag
#10
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 4 Mitglied seit: 03.07.2004 Mitglieds-Nr.: 1.137 |
Juhuu! Löschen mit eScan hatte offenbar Erfolg: Startseite bleibt,
keine nervigen pop-ups mehr!! Sollt ich für die Zukunft vielleicht den Browser wechseln? Wenn ja, zu welchem? Dank an Joerg und alle andern!!! |
|
|
Gast_Bo Derek_* |
03.07.2004, 21:24
Beitrag
#11
|
Gäste |
Ein Browserwechsel wäre jetzt ein super Abschluß der Reinigungsaktion!
Ich kann Dir nur Firefox empfehlen. Ein kostenloses und schnelles Programm, das sich mit Skins und Plugins wunderbar anpassen lässt. Opera ist auch sehr gut, allerdings muss Du das Programm kaufen oder einen Werbebanner tolerieren. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 27.06.2024, 01:18 |