Firewall aus - Plötzlich VIREN, TROJA, DIALER und COOL SEARCH

Hi Leute!

Hab ein großes Problem!

Ich wollte jetzt mal das Spiel ?Need for Speed Underground? über Online spielen.
Dazu muss meine ZoneAlarm Firewall abgeschaltet werden, da ich sonst keine vernünftige Verbindung zustande bekomme!

Aber als ich sie abgeschaltet habe, und Online gegangen bin ? ich dachte ich guck nicht richtig:

Plötzlich schrieb sich eine Seite Namens ?Cool Search? als Startseite ein, die man nicht mehr wegbekommt ? AntiVir meldete alle 10 Sekunden einen Trojaner ? ich hatte auf dem Desktop plötzlich einen ?Sex Link Symbol? ? Nachrichten kamen per Nachrichtendienst - und dann hatte sich noch eine DFÜ Verbindung eingerichtet namens ?New Dial Up Connection? !!

ALTER! WAS GEHT!

Ich habe dann versucht, diese Dinger alle loszuwerden.
Habe AdAware, Spybot, Hijack, Antivir durchlaufenlassen, sämtliche einträge aus der Regedit gelöscht.

Aber ich kriege diese Startseite ?Cool Search? nicht weg!

Wie kriege ich die entfernt?
Und ständig, wenn ich online bin, geht der Rechner selber OFFLINE und dann versucht diese Neue Verbindung, sich anzuwählen!

Aber noch viel wichtiger: Wie kann ich mich schützen? Denn wenn ich wieder ohne Firewall online gehe, habe ich wieder das selbe Prob!
Nur ich muss die Firewall abstellen, sonst kann ich nicht Online zocken!

Wäre für jede Hilfe dankbar!
Greetz,

Ben


ACHJA

Hier nochmal die LogFile von Hijack!
Da ist ja ein Eintrag mit "coolsearch" - aber wenn ich die Lösche ist sie beim nächsten start wieder da!

Logfile of HijackThis v1.98.0
Scan saved at 23:24:20, on 20.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\services\wmplayer.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Elaborate Bytes\*******\*******Tray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
F:\Brenner\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe

O4 - HKLM\..\Run: [*******ElbyCDFL] "D:\Programme\Elaborate
Bytes\*******\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [*******Tray] "D:\Programme\Elaborate Bytes\*******\*******Tray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe

O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{81E08740-DA03-4E6D-8AC3-A04052F67E09}: NameServer = 217.237.149.161 194.25.2.129

O21 - SSODL: System - {43D6652E-0243-4985-BEBD-7859538CE8E4} - C:\WINDOWS\system32\system32.dll

 

Hallo,

gebe dir eine Tip,

http://www.trojaner-board.com/index.php?

stell dein Problem da mal rein, vielleicht hilft es dir schneller.

Günter

 

@ VTEC Power

Dein Betriebsystem ist veraltet, ebenso wie dein IE. Da wundert es mich gar nicht, daß du dir da was eingefangen hast.

Mein Tip:

System neu aufsetzen und dann wie folgt vorgehen:

1. Eingeschränktes Benutzerkonto erstellen
2. Interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
3. NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/
4. dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
5. Deine Passwörter ändern
6. IE sicherer konfigurieren http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
oder Browserwechsel wie z.B. Mozilla oder Firefox
7. Image deiner Systempartition erstellen
8. Surfverhalten überdenken

Gruß
Nevok

 

Hallo VTEC Power,

Indem man sein System ausreichend patcht (zeitnah aufspielt) und somit die Sicherheitslücken schließt!

**kopfschüttelnd**

- Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Diese Pseudo Sicherheitssoftware kannst du beruhigt deinstallieren, denn sie ist unnütz.
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
Wenn du keine Dienste nach außen anbietest, dann sind auch deine Ports geschlossen.
http://www.ntsvcfg.de/

Weitere Infos zur Systemabsicherung erfährst du hier:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html

Zur Beseitigung:

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diesen Prozess:
C:\WINDOWS\system32\services\wmplayer.exe

Fixe diese Einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
O21 - SSODL: System - {43D6652E-0243-4985-BEBD-7859538CE8E4} - C:\WINDOWS\system32\system32.dll

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINDOWS\system32\services\wmplayer.exe
C:\WINDOWS\system32\system32.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- interne Verbindungsfirewall aktivieren http://www.computerhilfe-euskirchen.de/hilfetextezumlesen/windowsxp/tipp16.html
- Neustart
- dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

 

@VTEC Power:

In wie vielen Foren möchtest du es denn noch posten?
http://www.chip.de/forum/thread.html?bwthreadid=691893

 

Ich zähle momentan drei.
http://www.trojaner-board.de/showthread.php?goto=newpost&t=7013

 

Hm, wann schließen die Wettbüros?

 

Deutsche Übersetzung und Anleitung http://www.trojaner-infos.de !
Roland

 

Manche lernen es eben nie.

 

HI!

Also erstmal Danke!!

Ich werde es gleich mal alles durchprobieren!

Zum alten Betriebssystem:
-ist mir klar, das es veraltet ist. Hab allerdings nur Modem Verbindung, und kann nichtmal eben 200 MB updates runterladen

Zu den Patches:
- Diese Patches von diesen Würmern damals, hatt ich mir draufgezogen (ja ich weiss, es gibt viele viele mehr - aber hab eben nur Modem)

Zum eingeschränkten Benutzerkonto:
- Hab T-Online Software

Zur ?Pseudo Sicherheitssoftware? ZoneAlarm:
- Zone Alarm läuft seit Oktober 2003 bei mir, ohne Unterbrechung.
Habe seither noch nie ein einziges Problem mit Viren und Co gehabt, Zone meldete 12.500
Eindrigungsversuche.
Und als ich die Firewall gestern das aller erste Mal abgeschaltet habe, habe ich hunderte Seuchen auf´m Rechner.
Irgendwas muss diese Firewall ja wohl dann nützen!


- Wie beende ich den Prozess wmplayer.exe?


Werde nachher noch mal meine Ergebnisse posten!

Nochmal vielen Dank für Eure Hilfe!

Ben

 

Mit Modem Verbindung ist klar, aber dafür gibt es Alternativen. Seit Januar gibt es das SP1 auf vielen Heft Cd´s diverser PC Zeitschriften oder Microsoft. Dasselbe gilt jetzt für das SP2.

Was hat die T-Online Software mit dem eingeschränkten Benutzerkonto zu tun?

Ich glaube, du hast diesen Link nicht aufmerksam gelesen:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Weitere Links:
Felix von Leitners Papers zum Thema "Personal Firewalls":
http://www.fefe.de/pffaq/halbesicherheit.txt
http://www.fefe.de/pffaq/

Wie PFWs umgangen werden...
http://home.arcor.de/nhb/pf-umgehen.html
http://www.stud.tu-ilmenau.de/~traenk/zaweg.htm
http://www.pcflank.com/art21.htm
http://www.computerbetrug.de/firewall/tunnel.php

...und die Verwundbarkeit eines Systems erhöhen können:
http://www.heise.de/newsticker/meldung/47316

Im TaskManager!
Strg+Alt+Entf gleichzeitig drücken.

 

Zum Thema Personal Firewalls

Soweit mir bekannt ist, wird eine Firewall immer von innen her getunnelt, d. h. also, daß "Schadprogramm" muß erst auf den Rechner gelangen, um die Firewall außer Kraft zu setzen, oder verstehe ich das falsch?

Gruß
Nevok

 

Hi nochmal!

- die wmplayer.exe steht nicht in Prozesse drin!
Allerdings hatte ich auch erst die Datei wmplayer.exe gelöscht und danach versucht den Prozess zu beenden.

Jetzt kommt auch bei jedem Systemstart der MediaPlayer, der sich öffnet!
Wie behebe ich das jetzt?

- Also es scheint als sei die "Cool Search" Startseite erstmal beseitigt.

Hier ist die Log vom eScan:
___________________________________________________________________
File C:\WINDOWS\System32\notepad.exe infected by "TrojanDownloader.Win32.Small.jc" Virus. Action Taken: File Deleted.

File C:\WINDOWS\system32\services\losve.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\B.Renner\Lokale Einstellungen\Temporary Internet
Files\Content.IE5\O5UB09E3\p-uud[1].html infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Windows Media Player\wmplayer.exe.tmp infected by "TrojanDownloader.Win32.Small.ka" Virus. Action Taken: File Deleted.

File C:\Programme\AVPersonal\INFECTED\U070104.EXE.VIR infected by "TrojanDownloader.Win32.Small.fv" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{BA222FA0-1C71-4F84-9B28-5E83A7547001}\RP147\A0056805.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{BA222FA0-1C71-4F84-9B28-5E83A7547001}\RP151\A0058083.exe infected by "TrojanDownloader.Win32.Small.ka" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{BA222FA0-1C71-4F84-9B28-5E83A7547001}\RP151\A0058091.exe infected by "TrojanDownloader.Win32.Small.jc" Virus. Action Taken: File Deleted.

File C:\System Volume Information\_restore{BA222FA0-1C71-4F84-9B28-5E83A7547001}\RP151\A0058092.exe infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: File Deleted.

File C:\Recycled\Q330995.exe infected by "TrojanDropper.Win32.Small.hx" Virus. Action Taken: File Deleted.

File E:\Vorherige Eigene Dateien\27.09.2003\EIGENE_DATEIEN\EIGENE DATEIEN NEU II\SONSTIGES\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File E:\Vorherige Eigene Dateien\27.09.2003\EIGENE_DATEIEN\EIGENE DATEIEN NEU II\XP_THEMES\WINXPTHEME_PATCH.RAR tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
___________________________________________________________________

Jetzt weiss ich auch, warum mein Editor nicht mehr ging!



- UND hier ist nochmal die HiJack LOG nachdem eScan fertig war:
___________________________________________________________________
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Motherboard Monitor 5\MBM5.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\Programme\Elaborate Bytes\*******\*******Tray.exe
C:\WINDOWS\System32\ctfmon.exe
F:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\tonchkml32.exe
F:\Brenner\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm

F0 - system.ini: Shell=

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min

O4 - HKLM\..\Run: [MBM 5] "D:\Programme\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone
Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [*******ElbyCDFL] "D:\Programme\Elaborate Bytes\*******\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [*******Tray] "D:\Programme\Elaborate Bytes\*******\*******Tray.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - Global Startup: Office-Start.lnk = F:\Programme\Microsoft Office\Office\OSA.EXE

O4 - Global Startup: Microsoft-Indexerstellung.lnk = F:\Programme\Microsoft Office\Office\FINDFAST.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000

O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...ls/en/x86/client/wuweb_site.cab?1093037813479

O17 - HKLM\System\CCS\Services\Tcpip\..\{81E08740-DA03-4E6D-8AC3-A04052F67E09}: NameServer = 217.237.149.161 194.25.2.129

___________________________________________________________________

Die Dateien im abgesicherten Modus hatte ich auch gelöscht!

Was kann ich jetzt noch tun?

Achja nochwas: Wenn ich auf den Link von dem WinUpdate gehe, soll ich mir einen Tool runterladen um fort zu fahren, da MS angeblich eine verbesserte Website gemacht hat! Kann ich das einfach runterladen oder ist das wieder nen Troj?

Nochmal Greetz und Thanx,

Ben

 

Das ist richtig und kein Problem.
Entweder der User installiert das Schadprogramm selbst oder durch falsche Konfiguration bzw. falsche/keine Regeln oder durch Bugs.

Es wird dabei nicht versucht, eine unbekannte Funktion zu nutzen oder gar die Firewall auszuschalten. Der (stark vereinfachte) Ansatz ist, ein zugelassenes Programm (zum Beispiel einen Web-Browser) dazu zu bringen, die vom User nicht erwünschten Daten zu übertragen. Technisch funktioniert dies so, daß das Programm in Form einer DLL wartet, daß ein Webbrowser auf diese zugreift und dann einen Kommunikationskanal öffnet. Da in diesem Fall das schädliche Programm im Speicherbereich des Browsers liegt, wird der Zugriff von der Firewall als vom Browser kommend interpretiert und entsprechend den definierten Regeln durchgelassen.
Quelle: http://www.computerbetrug.de/firewall/tunnel.php

 

@ VTEC Power

In diesem Fall kannst du es bedenkenlos installieren.

Quelle: http://www.golem.de/0408/33099.html

 

Hi
___________
die wmplayer.exe steht nicht in Prozesse drin!
Allerdings hatte ich auch erst die Datei wmplayer.exe gelöscht und danach versucht den Prozess zu beenden.

Jetzt kommt auch bei jedem Systemstart der MediaPlayer, der sich öffnet!
Wie behebe ich das jetzt?
___________

was mache ich damit jetzt?

Greetz,

Ben

 

Start -> Ausführen -> msconfig eingeben und bestätigen, danach unter Systemstart Media Player deaktivieren.