1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Dismiss Notice

Trojaner TR/startpage.IG.1

Discussion in 'Sicherheit' started by Bosper, Jul 5, 2004.

Thread Status:
Not open for further replies.
  1. Bosper

    Bosper ROM

    Ich habe schon im forum einen beitrag dazu gelesen, dieser konnte mir aber leider nicht helfen :(

    ich habe zich dinge schon gelöscht bekomme die auswirkungen aber nicht weg und den TR schon garnicht :(

    hier der hijacklog ich hoffe damit kann man mir schon helfen...



    Logfile of HijackThis v1.97.7
    Scan saved at 18:34:41, on 05.07.2004
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS.000\System32\smss.exe
    C:\WINDOWS.000\system32\winlogon.exe
    C:\WINDOWS.000\system32\services.exe
    C:\WINDOWS.000\system32\lsass.exe
    C:\WINDOWS.000\system32\svchost.exe
    C:\WINDOWS.000\System32\svchost.exe
    C:\WINDOWS.000\Explorer.EXE
    C:\WINDOWS.000\system.exe
    C:\WINDOWS.000\system32\explorer.exe
    C:\WINDOWS.000\system32\explorer.exe
    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\eapl.exe
    C:\WINDOWS.000\system32\ntvdm.exe
    C:\Programme\AVPersonal\INETUPD.EXE
    C:\WINDOWS.000\system.exe
    C:\WINDOWS.000\system32\explorer.exe
    C:\Bases\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS.000\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS.000\secure.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS.000\secure.html
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS.000\secure.html
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Arcor
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.000\secure.html
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS.000\secure.html
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {3CFF4121-CA45-0F92-8752-66550FA42E49} - C:\WINDOWS.000\System32\ljzutrnv.dll
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS.000\Downloaded Program Files\bridge.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.000\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [TotalRecorderScheduler] F:\recorder\TotRecSched.exe
    O4 - HKLM\..\Run: [Mirabilis ICQ] D:\Kram\ICQ\ICQ\NDetect.exe
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.000\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
    O4 - HKLM\..\Run: [Explorer] C:\WINDOWS.000\system32\explorer.exe
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS.000\Downloaded Program Files\bridge.dll",Load
    O4 - HKCU\..\Run: [Zbvzp] C:\WINDOWS.000\System32\mvgrmjvy.exe
    O4 - HKCU\..\RunOnce: [ICQ] D:\Kram\ICQ\ICQ\ICQ.exe -trayboot
    O4 - Startup: Joint Operations Typhoon Rising Produktregistrierung.lnk = C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\{72E7ECF3-9E78-4254-AE68-FE5A0C732FCD}\{0325F1C1-883A-41AB-8981-B27359ABDFAF}\NOVG.EXE
    O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
    O9 - Extra button: ICQ Pro (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ (HKLM)
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O10 - Unknown file in Winsock LSP: c:\windows.000\system32\ua_lsp.dll
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.arcor.de
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.clickspring.net
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.my-internet.info
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.skoobidoo.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/legal/x.chm::/load.exe
    O16 - DPF: {12398DD6-40AA-4C40-A4EC-A42CFC0DE797} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
    O16 - DPF: {15589FA1-C456-11CE-BF01-00AA0055595A} - http://www.nuker.com/products/swn2004/installers/default/SpyWareNukerInstaller.exe
    O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab
    O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.1_01) -
    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37822.5265856481
    O16 - DPF: {A7798D6C-C6B5-4F26-9363-F7CDBBFFA607} (download Class) - http://www.gigex.com/ActiveX/vxpspeeddelivery.dll
    O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/updater//MaxisSimCity4PatcherX.cab
    O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
    O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
    O16 - DPF: {FC87A650-207D-4392-A6A1-82ADBC56FA64} (MultiDist) - http://xbs.climaxbucks.com/internet-optimizer/080703/MultiDist.CAB
    O16 - DPF: {FF0C042C-98E9-4C36-B2EC-E21FDFDCEF75} - http://download.redswoosh.net/Installer/104/rsinstaller.cab

     
    Bosper, Jul 5, 2004
    #1
  2. Bosper

    Bosper ROM

    Habe ebend gesehen das ich auch noch rojanDownloader.Win32.PurityScan.b diesen virus hatte und dadurch wohl der trojaner irgend wie zu mir kam :(

    nun der virus sollte gelöscht sein, aber das prob. besteht.



    edit: keine ahung woher aber es werden immer mehr... is mir ja noch nie passiert :(

    File C:\DOKUME~1\ADMINI~1\ANWEND~1\eapl.exe infected by "TrojanDownloader.Win32.PurityScan.b" Virus. Action Taken: File Deleted.
    File C:\Bases\backup-20040705-181223-101.dll infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted.
    File C:\Bases\hijackthis.log infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.
    File C:\WINDOWS.000\SYSTEM32\DRIVERS\etc\hosts infected by "TrojanDownloader.Win32.Small.li" Virus. Action Taken: File Deleted.
     
    Bosper, Jul 5, 2004
    #2
  3. Cidre

    Cidre Halbes Megabyte

    Hallo,
    bei deinen stark kompromittierten System hilft nur ein Neuaufsetzen deines Systems, denn es ist nicht mehr vertrauenswürdig.
    http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
    http://schad.dyndns.org/index.php/Kompromittierung

    Du hast viele Fehler gemacht:
    1. Dein System ist nicht gepatcht, fehlendes SP1 für BS und IE sowie weitere sicherheitsrelevanten Patches.
    2. Du benutzt das Admin Konto zum surfen.
    3. Du hast den IE nicht sicher konfiguriert
    4. Du solltest dein Surf Verhalten überdenken.

    Nach dem Neuaufsetzen würde ich dir folgendes raten:
    1. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
    2. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
    3. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    4. Deine Passwörter ändern
    5. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie Mozilla oder Firefox
     
    Cidre, Jul 5, 2004
    #3
Thread Status:
Not open for further replies.

Share This Page