Bitte Log auswerten!Ihr seid meine letzte Hoffnung, TR/Startpage.IG.1 Einstellungen

[Madden]

Arbeite seit Tagen an dem verdammten Ding rum, bekomm es aber nicht los!
Die Virenprogramme erkennen den Trojaner zwar, aber beseitigen konnte ihn keines.
Hab ad-aware und search and destroy schon zig mal laufen lassen, auch den cwshredder, bekomm den mistigen TR/Startpage.IG.1 aber nicht los.

Hier mal das Hijack Logfile, hoffentlich könnt ihr mir helfen...

Logfile of HijackThis v1.98.0
Scan saved at 16:09:19, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Super Popup Blocker\popkill.exe
C:\WINDOWS\system.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXXXXXX\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - C:\WINDOWS\System32\popkill.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Super Popup Blocker] C:\Programme\Super Popup Blocker\popkill.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab28578.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://dev-www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_41.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...StatsClient.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD4454B-3B90-4B55-9536-FF8DEDC6A113}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ACB417-7F12-4105-A495-8E2CF15400CB}: NameServer = 217.237.150.141 194.25.2.129


Danke schon mal im voraus.

M.F.G. Madden

Der Beitrag wurde von Madden bearbeitet: 21.07.2004, 15:17

[raman]

Fix mal das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe

Dann bitte neu starte und diese Datei an virus@rokop-security.de schicken:

C:\WINDOWS\system.exe

[Voyager]

@madden
das sieht nee gut aus bei dir, du hast dir nee menge backgroundinstallationen eingefangen.
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system.exe
C:\Programme\Cherry\CDI\CDI.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

O4 - HKLM\..\Run: [System32] C:\WINDOWS\system.exe
C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

das würd ich an deiner stelle schon erstma löschen, dann sind noch einige sachen in deinerm system32-ordner nach denen ich an deiner stelle mal googlen würde z.b. Ati2evxx.exe CTsvcCDA.EXE MsPMSPSv.exe
und lösche mal den gesamten activeX-cache in dem ordner c:\WINDOWS\Downloaded Program Files\
"wichtige notwendige activeX objekte" werden bei bedarf sowieso wieder nachinstalliert wie z.b. die ungefährlichen sachen adobe symantec msn und microsoft.
dies hier sieht jedoch schonma gefährlich aus:
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab

ein klein tip, auf deinem prvat genutzten rechner kannst du beruhigt das winXP-sp2cr2 installieren (am besten erst bei einer neuinstall!) , dann wärst du vor den gefährlichen backgroundinstallationen geschützt.

[Yopie]

C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe

Was soll an diesen Dateien schlimm sein?

ein klein tip, auf deinem prvat genutzten rechner kannst du beruhigt das winXP-sp2cr2 installieren (am besten erst bei einer neuinstall!) , dann wärst du vor den gefährlichen backgroundinstallationen geschützt.

Solange das SP2 von Microsoft nur als Release Candidate vorliegt, sollte man auf anderen Rechnern als auf Testrechnern auf eine Installation verzichten.

Sorry, insgesamt erscheinen mir Deine Tips wenig fundiert und damit leider wenig hilfreich.

[Voyager]

@Yopie
ist doch prima wenn du eine persönliche meinung hast aber solange du nichts besseres zu bieten hast ist dein beitrag nur nörgelndes geflame .

[Yopie]

Da Du anscheinend nicht begründen kannst, warum

C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe

schädlich sein sollen, sondern stattdessen lieber rumpöbelst, bestätigst Du meine erste Vermutung.

Was sind eigentlich backgroundinstallationen? Erklärs mir bitte, Google brachte dazu genau Null Ergebnisse...

Ach nein, lass es lieber. Bevor Du hier weiter hilfesuchende User verwirrst, geh bitte dahin, wo Du herkommst.

[Madden]

Danke schon mal!

Hab jetzt alles so gemacht, und die erneute auswertung bringt:

Logfile of HijackThis v1.98.0
Scan saved at 17:24:23, on 21.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe
C:\Programme\Super Popup Blocker\popkill.exe
C:\Dokumente und Einstellungen\Mathias Degen\Desktop\hijackthis_198\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: HTML Source Editor - {85810C93-C14C-11D5-BC4B-0050BA28E4FE} - C:\WINDOWS\System32\popkill.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [Digital Patrol Update 5] C:\Programme\Proantivirus Lab\Digital Patrol Scanner 5.0\update.exe /autoupdate
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\keyman\IEMenuExtKeyman.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD4454B-3B90-4B55-9536-FF8DEDC6A113}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5ACB417-7F12-4105-A495-8E2CF15400CB}: NameServer = 217.237.150.141 194.25.2.129

Die R1 und R0 usw. hab ich gefixt, die kommen aber immer wieder. Hab sie auch schon manuel aus der registry gelöscht.

Die datei hab ich jetzt mal verschickt, hoffe die können was damit nafangen...

Madden

[raman]

Entschuldige, ich haette noch erwaehnen sollen, das du die Datei C:\WINDOWS\system.exe noch umbenennen oder verschieben sollst. Schau in der Registierung wo du diesen Eintrag noch findest "C:\WINDOWS\system.exe" poste mal das Ergebniss.

[Madden]

Hab jetzt nochmal hijack drüberlaufen lassen, und dass dann online auswerten lassen, und er findet keine roten mehr, nur noch ein paar gelbe Fehler, auch eben diese R0 R1 (HKCU, HKLM).

Aber ich weis, dass der Trojaner noch drauf ist, weil beim I-Explorer immer noch diese komische startseite kommt, und ich immer noch diese verflixten hosts files im Windows ordner habe.

Die system.exe hab ich gelöscht dummerweise, bevor ich sie verschicken konnte.

In der Registrierung steht Windows\system.exe bei

HKEY Current User Software Microsoft Windoes Current Version Explorer ComDL32 OpenSave MRU

Und an selbiger Stelle bei HKEY Users

Der Beitrag wurde von Madden bearbeitet: 21.07.2004, 16:45

[Voyager]

@madden
wenn du dir doch nicht sicher bist, welche programme/dateien/einträge deine probleme verursachen kommst du vll. um eine windows neuinstall doch nicht herrum. ich weiss das es für ungeübte anwender schwer ist da durchzusehen.

Der Beitrag wurde von raman bearbeitet: 21.07.2004, 17:35

[raman]

Ich will da noch ein wenig weitersuche, bevor du die ultimative "Plattmachmethode" anwendest.

Poste mal eine Startuplist: Hijackthis starten dann auf config/misc tools/generate startuplist und das Ergebnis bitte hier posten.

[Madden]

Yippiem vereint mit eurer hilfe hab ich es geschafft!!!

Hab alles was die online Auswertung von Hijackthis bemängelt hat gefixt, dann im abgesicherten modus die beiden hosts files gelöscht und den viren scanner von kaspersky drüberlaufen lassen.

Dann neustart, und cwshredder und antivir laufen lassen sowie search and destroy. Die haben alle nichts gefunden, und die Startseite im Explorer ist auch wieder die alte.

Die registry ist auch wieder befreit von diesen komischen ips.

Benutze jetzt nur noch firefox und hab mir auch gleich die firewall von kerio geholt.

Hoffe jetzt läuft das wieder ne weile.

Danke nochmal...

Greets Madden

[raman]

Hauptsache, du bist ihn los!:)