Trojaner, IE Startseite und Co

S

Snooker

Frisch registriert
Hallo,

ich glaube, mein PC ist ziemlich verseucht. Die Startseite vom Internet Explorer lautet ***.web-res.biz/homepage.htm und lässt sich nicht ändern.
Dann befindet sich noch die Datei tofp.exe auf C\: und lässt sich nicht löschen, mit diesem Programm steht es in Verbindung:

http://mitglied.lycos.de/fabianlandwehr2/Bilder/dialer.JPG

Unter anderem waren die Dateien "yesb.exe" und "pegotect.exe" (oder so ähnlich) auf C:\, die konnte ich aber manuell löschen.

Außerdem war eine ominöse GMX-Toolbar installiert (entweder von meinem Vater oder Bruder), die habe ich mittlerweile deinstalliert. Kann die was damit zu tun haben?

Dann habe ich noch eine Frage: Gehört die "soft.exe" in den Ordner C:\Windows\system32 oder hat die da auch nix zu suchen?

Hijack und Adaware habe ich schon drüber laufen lassen, beide haben reichlich gefunden.
 

Anhänge

  • hijackthis_427.log
    5,3 KB · Aufrufe: 307
Ob die soft.exe da reingehört, ist schwer zu sagen. Bei mir isse nich', aber was heißt das schon. Frag mal die Eigenschaften ab und schau mal, ob sie was hergeben.
Nach dem HJT-Log ist Dein Rechner nicht unbedingt erheblich vereucht. Da gab es schon Schlimmeres. Lediglich diese soft.exe und die O2-Einträge Nr. 2 und 3 werden als unbekannt eingestuft. Der Rest ist demnach sauber. Du solltest also mal diese WinSuck.dll und die WinTitle.dll hinterfragen.

Was nun Adaware gefunden hat, entzieht sich meiner Kenntnis. Mein Tipp: Lasse nochmal Adaware drüberlaufen und zusätzlich auch Spybot. Beide ergänzen sich manchmal recht gut in den Ergebnissen. Der Schlüssel zum Erfolg mit diesen Programmen liegt allerdings sehr oft im "Abgesicherten Modus" von Windows (F8 mehrmals beim Hochfahren drücken), um im Hintergrund laufende Programme zu vermeiden, die ggf. für eine sofortige Wiederherstellung von Parasiten sorgen.
 
Bitte schicke mir mal die "mehr als ominösen" Dateien
C:\WINDOWS\System32\soft.exe
C:\WINDOWS\System32\WinSuck.dll
C:\WINDOWS\System32\WinTitle.dll
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\system32\services\wmplayer.exe
einzeln an [email protected]
 
Adaware und Spybot habe ich im abgesicherten Modus laufen lassen, allerdings haben die nichts entdecken können. Cool Web Search habe ich gestern mit Adaware beim 1. Durchlauf gefunden und gelöscht, da kommt auch nichts mehr.

@virenscanner: Die Dateien habe ich vorhin raus geschickt. Die Einträge

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webxxxx.biz/homepage.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webxxxxx.biz/homepage.htm

kriege ich mit HijackThis zwar raus, die sind aber beim nächsten Systemstart wieder da.

Auf C:\ befinden sich diese Dateien: tofp.exe, yesb.exe, eerre.exe, preotect.exe, wines.exe und paco.exe, die ich zwar manuell löschen kann, aber diese Mistdinger kommen immer wieder. Die yesb.exe versucht aufs Internet zuzugreifen, was aber von ZoneAlarm unterbunden wird.

Habs mal gefixt, da so offensichtliche Fallen nicht gepostet werden sollten.BT/MOD
 
Das Posting war von mir, ich habe vergessen, mich einzuloggen. Ich habe gerade eben mal die oben geposteten Registryeinträge sowie die Einträge der WinSuck.dll, WinTitle.dll und dieser wmplayer.exe gelöscht, bis jetzt läuft es vernünftig. Auch die Startseite im Internet Explorer wird wieder korrekt angezeigt. Ich hoffe, das war's.

Edit: Dieser verdammte Dialer, den man auf dem Screenshot sehen kann, ist immer noch da.
 
Im whois deiner Startseite steht eine Adresse in Zypern mit einem Tippfehler bei der Stadt und einem kleinen Fehler bei der Straße. Zudem gibt es in Limassol auf Zypern keine "Washington Street". Es gibt aber mehrere Städte, in denen es eine "Washington Street" gibt. Leider zu viele, um es auf diesem Wege einzugrenzen ;)
 
Aka-Aka schrieb:
Im whois deiner Startseite steht eine Adresse in Zypern mit einem Tippfehler bei der Stadt und einem kleinen Fehler bei der Straße. Zudem gibt es in Limassol auf Zypern keine "Washington Street". Es gibt aber mehrere Städte, in denen es eine "Washington Street" gibt. Leider zu viele, um es auf diesem Wege einzugrenzen ;)
Zum Vergrößern anklicken....

Sorry, aber ich verstehe leider nur Bahnhof.

Die Startseite ist beim Internet Explorer wieder diese ***.web-res.biz/homepage.htm, ich vermute, dass das mit diesem Dialer zusammenhängt.
 
@Snooker

Systemwiederherstellung abschalten
Rechner im abgesicherten Modus starten
HiJackThis starten und die folgenden Einträge fixen:
Code: 
F3 - REG:win.ini: run=C:\WINDOWS\System32\soft.exe
O2 - BHO: BHO Class - {575A5AE9-B68E-4BEB-BACB-FE430448C654} - C:\WINDOWS\System32\WinSuck.dll
O2 - BHO: BHO Class - {F6053709-5723-454E-AB9D-7FC7E681AFA5} - C:\WINDOWS\System32\WinTitle.dll
O4 - HKLM\..\Run: [Web Service] C:\WINDOWS\System32\wmplayer.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
Anschließend Systemwiederherstellung wieder aktivieren.

Bei MS das ServicePack2 laden.

Anschließend ein neues HiJackThis-Log erstellen und hier als Attachment einstellen.
 
virenscanner schrieb:
@Snooker

Systemwiederherstellung abschalten
Rechner im abgesicherten Modus starten
HiJackThis starten und die folgenden Einträge fixen:
Code: 
F3 - REG:win.ini: run=C:\WINDOWS\System32\soft.exe
O2 - BHO: BHO Class - {575A5AE9-B68E-4BEB-BACB-FE430448C654} - C:\WINDOWS\System32\WinSuck.dll
O2 - BHO: BHO Class - {F6053709-5723-454E-AB9D-7FC7E681AFA5} - C:\WINDOWS\System32\WinTitle.dll
O4 - HKLM\..\Run: [Web Service] C:\WINDOWS\System32\wmplayer.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
Anschließend Systemwiederherstellung wieder aktivieren.

Bei MS das ServicePack2 laden.

Anschließend ein neues HiJackThis-Log erstellen und hier als Attachment einstellen.
Zum Vergrößern anklicken....

So, bis auf das SP2 habe ich alles gemacht, wie du es beschrieben hast. Im Anhang das frische Logfile.
 

Anhänge

  • hijackthis_196.log
    4,8 KB · Aufrufe: 287
Um just diesen Trojaner handelt es sich...


Somit muss zumindest noch die Explorer.exe durch eine saubere Version ersetzt werden.
Man sollte auch - wegen der Möglichkeiten des Trojaners - über ein Neuaufsetzen des Systems nachdenken.
 
So, vielen vielen Dank an euch, ihr habt mir echt geholfen. Mich würde nur noch interessieren, wie ich mir diesen Trojaner eingefangen habe.


virenscanner schrieb:
Um just diesen Trojaner handelt es sich...


Somit muss zumindest noch die Explorer.exe durch eine saubere Version ersetzt werden.
Man sollte auch - wegen der Möglichkeiten des Trojaners - über ein Neuaufsetzen des Systems nachdenken.
Zum Vergrößern anklicken....

Wo bekomme ich eine saubere Explorer.exe? Ist die auf der Windows-CD?
 
Nach der Bereinigung wird von WXP das Original automatisch wieder hergestellt. Da der Trojaner nicht mehr existiert, der das jedesmal wieder rückgängig gemacht hat, ist dann alles wieder i.O.
 
Zurück
Oben