Geschrieben von antesmeralda am 25.02.2005 um 10:05:
Trojanische Pferd TR/StartPage.qr.DLL belagert uns immer wieder
Hallöchen,
ich bin total verzweifelt. Der Compu (Win98) von meiner Tochter wird nach jedem Internetbesuch immer wieder von Trojanern belagert.
Trotz AV-Programm, wo das erste Problem auftritt, der AV-Guard muss immer manuell aktiviert werden, obwohl er unter Optionen aktiviert ist, erscheinen jeden Tag neue Trojaner.
Ich erstelle mal eine Liste:
23.02.05
C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SYSTEM
kkmacaa.dll
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
WURDE GELÖSCHT!
C:\WINDOWS\TEMP
se.dll
[FUND!] Ist das Trojanische Pferd TR/StartPage.qr.DLL
Konnte nicht gelöscht werden!
C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
IEPlugin.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Commonhijacker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Commonhijacker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nCase.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
25.02.05
C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\SYSTEM
igo.dll
[FUND!] Ist das Trojanische Pferd TR/Startpage.215
Konnte nicht gelöscht werden!
C:\WINDOWS\TEMP
se.dll
[FUND!] Ist das Trojanische Pferd TR/StartPage.qr.DLL
Konnte nicht gelöscht werden!
C:\WINDOWS\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
IEPlugin.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BlazeFindBridge5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Commonhijacker.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Commonhijacker1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
nCase.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
StatblasterAllfiles8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Unknown13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Die Dateien se.dll (Ist das Trojanische Pferd TR/StartPage.qr.DLL) und igo.dll (Ist das Trojanische Pferd TR/Startpage.215) waren gelockt und trotz Neustart noch je 3x in regedit vorhanden. Habe sie dann gelöscht. Die Datei se.dll ist trotz Löschung wieder aufgetaucht.
Ich habe ein Windows-update und SpySweeper(war gestern nach Anwendung clean, heute wieder belagert) durchgeführt. Ich habe alle temp-Dateien, alle TemporaryInternetfiles, Cookies gelöscht und unter Extras die Webeinstellungen zurückgesetzt.
Wir erkennen, das sich wieder ein Virus eingeschlichen hat, es öffnet sich eine Warnseite: Inbox overload Warning: Your Inbox may be overloaded with unwanted junk mail. Stop spam, viruses, and unsavory content by clicking on the 'update' button.
Dahinter befindet sich ein Fenster (in Form von Outlook, obwohl wir outlook seit Jahren nicht verwenden).
File Edit View Tools Message Help
Create Mail
Folders
Local Folders
Inbox (334)
Outbox usw.
Wir schließen es, weil wir nicht wissen, welches Programm dahinter steckt.
Es muss doch noch irgendeine Datei infiziert sein, sonst würde doch nicht jeden Tag dasselbe Problem auftreten, wenn meine Tochter im Net ist. Vielleicht sagt ja auch folgendes einiges zu unserem Problem:
Logfile of HijackThis v1.99.1
Scan saved at 08:47:27, on 25.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.lycos.de/entertainment/games/games.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about :blank
O2 - BHO: (no name) - {F2A4407B-FFBC-4A1F-A18A-0F68C3E0FC9E} - C:\WINDOWS\SYSTEM\SOQELIY.DLL (file missing)
O2 - BHO: (no name) - {C23C26A5-8683-11D9-9FF9-0060C775C930} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) -
https://www7.pc-sicherheit.web.de/ols/fscax.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) -
http://game11.zylom.lycos.de/activex/zylomloader.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) -
http://game11.zylom.lycos.de/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
O18 - Filter: text/html - {C23C26A4-8683-11D9-9FF9-0060A8396CAB} - (no file)
O18 - Filter: text/plain - {C23C26A4-8683-11D9-9FF9-0060A8396CAB} - (no file)
Vielleicht kann uns ja jemand helfen, bei dem Internet-Chaos.
Vielen Dank ;-) Ant
Geschrieben von antesmeralda am 27.02.2005 um 13:06:
Hallo,
ich gebe die Schlacht gegen Troja langsam auf ;(. Gestern war noch alles ok und Heute
Ich habe das AV-Programm deinstalliert, neu heruntergeladen. Kaum war das Download beendet, erschien: "Warning: Your Computer may be infected with spyware. If yuor computer has been running slower than usual, it may be infected with Adware or Spyware! To scan your computer for such infections, click yes below." Habe es weggeklickert.
Dann AV neu installiert und durchlaufen lassen. Das Ergebnis 2 Trojaner ( und wieder se.dll). Das kann doch nicht mehr normal sein. Ich war nicht einmal 2 Minuten im Internet!!! Ich habe langsam das Gefühl, es befindet sich eine Datei auf dem Compu, die sich immer aktiviert, wenn das Internet benutzt wird.
Während AV durchgescheckt hat, will er sich ins IT einwählen.
AdWare: 12 New Critical Objects, habe sie gelöscht.
SpyBot S&D: 3 Objekte, habe sie gelöscht.
ScanDisc und Defragmentierung durchgeführt.
Hijackthis wieder solche Schei....
Logfile of HijackThis v1.99.1
Scan saved at 12:23:32, on 27.02.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\KATRIN\VIRUS\HIJACKTHIS[1].EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about :blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about :blank
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {A563D0A3-889F-11D9-9FF9-00609913B4B5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) -
https://www7.pc-sicherheit.web.de/ols/fscax.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.0.1
Danke für eure Hilfe, man sollte sich halt nicht zu früh freuen
;( Ant