Holländisches Startportal

Dieses Thema im Forum "Sicherheit" wurde erstellt von Ruude, 12. November 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Ruude

    Ruude Byte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    23
    Hi,
    ich hab da ein kleines Problem, irgendwo hab ich mir so ein scheiss holländisches Startportal gefangen. Es legt sich als Startseite im IE ab, nistet sich nach jedem neuen Bootvorgang unter C:\Programme ein und zu allem übel auch noch in der Registry. Alle Versuche den Quatsch zu entfernen, z.B. händig, per AdAware, Spybot, Antivirenprogramm schlagen fehl. Es kommt immer wieder. Ich habe Win NT4 auf dem Rechner. Kann mir vielleicht jemand einen Tipp geben?
    Danke im voraus.

    Ruude
     
  2. Ruude

    Ruude Byte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    23
    So ich hab das jetzt mal gemacht, den Rechner mehrfach neu gestartet und bis jetzt ist es nicht wieder gekommen. Hoffe das bleibt so. Vielen Dank Manni
    MfG Ruude
     
  3. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Normalerweise taucht 24start.com im Zusammenhang mit einem Dialer namens MS-Connect (nicht von Microsoft) auf. Dies scheint deinem Logfile nach aber nicht der Fall zu sein.

    In einem holländischen Newsbeitrag habe ich folgende Antwort auf das Problem gefunden:

    "Bij mij hielp dit:
    Verwijder het bestand code.exe uit de map Windows\system32"

    Ich kann zwar kein holländisch, aber ich nehme mal an, das das mit der Code.exe zu tun hat, bei der es sich (wie ich schon geschrieben habe) wahrscheinlich um einen Dialer handelt.

    Lass also am besten von HijackThis folgende Punkte korrigieren:

    O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe
    O4 - HKCU\..\Run: [AutoUpdater] C:\WINNT\System32\aupdate.exe

    Mfg Manni
     
  4. Ruude

    Ruude Byte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    23
    Das Startportal um das es geht heißt: 24Start!

    Ruude
     
  5. Ruude

    Ruude Byte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    23
    Jawohl, es existiert ein Novell-Netzwerk.
     
  6. Gast

    Gast Guest

    clntrust.exe und zentray.exe kommen mir leicht spanisch vor. Existiert da ein Novell-Netzwerk?
    aupdate.exe ist definitiv ein Bestandteil der Spyware ISTbar.
     
  7. ManniBear

    ManniBear Megabyte

    Registriert seit:
    23. Februar 2002
    Beiträge:
    1.970
    Wie heißt denn dieses "holländische Startportal"?

    Bei der Code.exe unter "Runnning Processes" könnte es sich um einen Dialer ("Adult content dialler") handeln:
    O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe

    Mfg Manni

    Nachtrag: Und bei der aupdate.exe kann es sich um eine TinyBar-Variante handeln, die angeblich aber von Ad-aware und Spybot gefunden werden sollte:
    http://www.doxdesk.com/parasite/ISTbar.html

    Mfg Manni
     
  8. Ruude

    Ruude Byte

    Registriert seit:
    18. Juni 2002
    Beiträge:
    23
    Spybot und Ad-Aware sind jeweils auf dem neuesten Stand.
    Hier ist der Scanreport:

    Logfile of HijackThis v1.97.6
    Scan saved at 15:27:34, on 12.11.03
    Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINNT\System32\smss.exe
    C:\WINNT\system32\winlogon.exe
    C:\WINNT\system32\services.exe
    C:\WINNT\system32\lsass.exe
    C:\WINNT\system32\spoolss.exe
    C:\WINNT\System32\drivers\trcboot.exe
    C:\WINNT\System32\drivers\appnnode.exe
    C:\Programme\NavNT\defwatch.exe
    C:\WINNT\System32\tcpsvcs.exe
    C:\WINNT\System32\NALNTSRV.EXE
    C:\Programme\NavNT\rtvscan.exe
    C:\WINNT\system32\RpcSs.exe
    C:\WINNT\System32\wm.exe
    C:\Novell\ZENRC\wuser32.exe
    C:\NOVELL\ZENRC\WUOLService.exe
    c:\winnt\system32\pstores.exe
    C:\WINNT\system32\MSTask.exe
    C:\WINNT\system32\nddeagnt.exe
    C:\WINNT\Explorer.exe
    C:\WINNT\System32\SysTray.Exe
    C:\WINNT\System32\hkcmd.exe
    C:\WINNT\System32\loadwc.exe
    C:\WINNT\System32\dpmw32.exe
    C:\WINNT\System32\NWTRAY.EXE
    C:\PROGRA~1\NavNT\vptray.exe
    C:\Programme\Winamp\Winampa.exe
    C:\PROGRA~1\DAP\DAP.EXE
    C:\WINNT\System32\code.exe
    C:\WINNT\System32\aupdate.exe
    C:\WINNT\System32\MSWHEEL.EXE
    C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
    C:\WINNT\Profiles\nkp01\Startmenü\Programme\Autostart\clntrust.exe
    C:\PROGRA~1\WinZip\winzip32.exe
    C:\TEMP\HijackThis.exe
    C:\WINNT\regedit.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = +w
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = +w
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = +w
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.microsoft.com/search/search.asp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://home.microsoft.com/access/autosearch.asp?p=%s
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = fmc05:80
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.130.1.56; http://intranet.bff/index.html; bffintra.bff;intranet.bff;8.3.7.131;8.3.113.44;cdrom1.bff;bffproxy2.bff;mail1.bff;bffhost.bff;10.130.1.56;ess01.bff
    ;<local>
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
    F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
    O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - (no file)
    O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
    O4 - HKLM\..\Run: [POINTER] C:\PROGRA~1\MICROS~2\point32.exe
    O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
    O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
    O4 - HKLM\..\Run: [NDPS] C:\WINNT\System32\dpmw32.exe
    O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
    O4 - HKLM\..\Run: [ZENRC Tray Icon] zentray.exe
    O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\NavNT\vptray.exe
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [DownloadAccelerator] C:\PROGRA~1\DAP\DAP.EXE /STARTUP
    O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
    O4 - HKLM\..\Run: [Diskstart] C:\WINNT\System32\code.exe
    O4 - HKCU\..\Run: [AutoUpdater] C:\WINNT\System32\aupdate.exe
    O4 - Startup: CLNTRUST.EXE
    O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = C:\Programme\Microsoft Office\Office\MSOFFICE.EXE
    O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
    O13 - WWW. Prefix: http://
    O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
     
  9. Gast

    Gast Guest

    Nur um sicher zu gehen: Ad-Aware und Spybot S&D waren jeweils upgedatet?

    Erstelle mal einen Scanreport mit HijackThis und poste den hier, dann kann man aussortieren, was das verursacht.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen