# Trojaner, IE Startseite und Co



## Snooker (29 Januar 2005)

Hallo,

ich glaube, mein PC ist ziemlich verseucht. Die Startseite vom Internet Explorer lautet ***.web-res.biz/homepage.htm und lässt sich nicht ändern. 
Dann befindet sich noch die Datei tofp.exe auf C\: und lässt sich nicht löschen, mit diesem Programm steht es in Verbindung:

http://mitglied.lycos.de/fabianlandwehr2/Bilder/dialer.JPG

Unter anderem waren die Dateien "yesb.exe" und "pegotect.exe" (oder so ähnlich) auf C:\, die konnte ich aber manuell löschen.

Außerdem war eine ominöse GMX-Toolbar installiert (entweder von meinem Vater oder Bruder), die habe ich mittlerweile deinstalliert. Kann die was damit zu tun haben?

Dann habe ich noch eine Frage: Gehört die "soft.exe" in den Ordner C:\Windows\system32 oder hat die da auch nix zu suchen?

Hijack und Adaware habe ich schon drüber laufen lassen, beide haben reichlich gefunden.


----------



## Dino (29 Januar 2005)

Ob die soft.exe da reingehört, ist schwer zu sagen. Bei mir isse nich', aber was heißt das schon. Frag mal die Eigenschaften ab und schau mal, ob sie was hergeben.
Nach dem HJT-Log ist Dein Rechner nicht unbedingt erheblich vereucht. Da gab es schon Schlimmeres. Lediglich diese soft.exe und die O2-Einträge Nr. 2 und 3 werden als unbekannt eingestuft. Der Rest ist demnach sauber. Du solltest also mal diese WinSuck.dll und die WinTitle.dll hinterfragen.

Was nun Adaware gefunden hat, entzieht sich meiner Kenntnis. Mein Tipp: Lasse nochmal Adaware drüberlaufen und zusätzlich auch Spybot. Beide ergänzen sich manchmal recht gut in den Ergebnissen. Der Schlüssel zum Erfolg mit diesen Programmen liegt allerdings sehr oft im "Abgesicherten Modus" von Windows (F8 mehrmals beim Hochfahren drücken), um im Hintergrund laufende Programme zu vermeiden, die ggf. für eine sofortige Wiederherstellung von Parasiten sorgen.


----------



## virenscanner (29 Januar 2005)

Bitte schicke mir mal die "mehr als ominösen" Dateien 
C:\WINDOWS\System32\soft.exe
C:\WINDOWS\System32\WinSuck.dll
C:\WINDOWS\System32\WinTitle.dll
C:\WINDOWS\System32\wmplayer.exe
C:\WINDOWS\system32\services\wmplayer.exe
*einzeln* an [email protected]


----------



## Anonymous (29 Januar 2005)

Adaware und Spybot habe ich im abgesicherten Modus laufen lassen, allerdings haben die nichts entdecken können. Cool Web Search habe ich gestern mit Adaware beim 1. Durchlauf gefunden und gelöscht, da kommt auch nichts mehr.

@virenscanner: Die Dateien habe ich vorhin raus geschickt. Die Einträge

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webxxxx.biz/homepage.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webxxxxx.biz/homepage.htm

kriege ich mit HijackThis zwar raus, die sind aber beim nächsten Systemstart wieder da.

Auf C:\ befinden sich diese Dateien: tofp.exe, yesb.exe, eerre.exe, preotect.exe, wines.exe und paco.exe, die ich zwar manuell löschen kann, aber diese Mistdinger kommen immer wieder. Die yesb.exe versucht aufs Internet zuzugreifen, was aber von ZoneAlarm unterbunden wird.

_ Habs mal gefixt, da so offensichtliche Fallen nicht gepostet werden sollten.*BT/MOD*_


----------



## Snooker (29 Januar 2005)

Das Posting war von mir, ich habe vergessen, mich einzuloggen. Ich habe gerade eben mal die oben geposteten Registryeinträge sowie die Einträge der WinSuck.dll, WinTitle.dll und dieser wmplayer.exe gelöscht, bis jetzt läuft es vernünftig. Auch die Startseite im Internet Explorer wird wieder korrekt angezeigt. Ich hoffe, das war's.

Edit: Dieser verdammte Dialer, den man auf dem Screenshot sehen kann, ist immer noch da.


----------



## Aka-Aka (29 Januar 2005)

Im whois deiner Startseite steht eine Adresse in Zypern mit einem Tippfehler bei der Stadt und einem kleinen Fehler bei der Straße. Zudem gibt es in Limassol auf Zypern keine "Washington Street". Es gibt aber mehrere Städte, in denen es eine "Washington Street" gibt. Leider zu viele, um es auf diesem Wege einzugrenzen


----------



## Snooker (29 Januar 2005)

Aka-Aka schrieb:
			
		

> Im whois deiner Startseite steht eine Adresse in Zypern mit einem Tippfehler bei der Stadt und einem kleinen Fehler bei der Straße. Zudem gibt es in Limassol auf Zypern keine "Washington Street". Es gibt aber mehrere Städte, in denen es eine "Washington Street" gibt. Leider zu viele, um es auf diesem Wege einzugrenzen



Sorry, aber ich verstehe leider nur Bahnhof.

Die Startseite ist beim Internet Explorer wieder diese ***.web-res.biz/homepage.htm, ich vermute, dass das mit diesem Dialer zusammenhängt.


----------



## virenscanner (29 Januar 2005)

@Snooker

Systemwiederherstellung abschalten
Rechner im abgesicherten Modus starten
HiJackThis starten und die folgenden Einträge fixen:

```
F3 - REG:win.ini: run=C:\WINDOWS\System32\soft.exe
O2 - BHO: BHO Class - {575A5AE9-B68E-4BEB-BACB-FE430448C654} - C:\WINDOWS\System32\WinSuck.dll
O2 - BHO: BHO Class - {F6053709-5723-454E-AB9D-7FC7E681AFA5} - C:\WINDOWS\System32\WinTitle.dll
O4 - HKLM\..\Run: [Web Service] C:\WINDOWS\System32\wmplayer.exe
O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\system32\services\wmplayer.exe
```
Anschließend Systemwiederherstellung wieder aktivieren.

Bei MS das ServicePack2 laden.

Anschließend ein neues HiJackThis-Log erstellen und hier als Attachment einstellen.


----------



## Snooker (29 Januar 2005)

Muss ich das Service Pack 2 zwingend installieren? Ich habe bis jetzt nichts positives davon gehört.


----------



## Snooker (29 Januar 2005)

virenscanner schrieb:
			
		

> @Snooker
> 
> Systemwiederherstellung abschalten
> Rechner im abgesicherten Modus starten
> ...



So, bis auf das SP2 habe ich alles gemacht, wie du es beschrieben hast. Im Anhang das frische Logfile.


----------



## Anonymous (30 Januar 2005)

Hallo,

schau Dir mal die beiden Seiten

http://www.rz.uni-karlsruhe.de/rz/sec/virus/Admincash.html

und

http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=41518

an.


Viele Grüße,
Carsten


----------



## virenscanner (30 Januar 2005)

Um just diesen Trojaner handelt es sich... 


Somit muss zumindest noch die Explorer.exe durch eine saubere Version ersetzt werden.
Man sollte auch - wegen der Möglichkeiten des Trojaners - über ein Neuaufsetzen des Systems nachdenken.


----------



## Devilfrank (30 Januar 2005)

Zumindest jedoch die ANleitung zum Entfernen Schritt für Schritt befolgen: http://securityresponse.symantec.com/avcenter/venc/data/downloader.admincash.html


----------



## Snooker (30 Januar 2005)

So, vielen vielen Dank an euch, ihr habt mir echt geholfen. Mich würde nur noch interessieren, wie ich mir diesen Trojaner eingefangen habe.




			
				virenscanner schrieb:
			
		

> Um just diesen Trojaner handelt es sich...
> 
> 
> Somit muss zumindest noch die Explorer.exe durch eine saubere Version ersetzt werden.
> Man sollte auch - wegen der Möglichkeiten des Trojaners - über ein Neuaufsetzen des Systems nachdenken.



Wo bekomme ich eine saubere Explorer.exe? Ist die auf der Windows-CD?


----------



## Devilfrank (30 Januar 2005)

Nach der Bereinigung wird von WXP das Original automatisch wieder hergestellt. Da der Trojaner nicht mehr existiert, der das jedesmal wieder rückgängig gemacht hat, ist dann alles wieder i.O.


----------



## Snooker (30 Januar 2005)

Der Trojaner ist immer noch da, ich werde wohl mal meine Festplatte formatieren. Dann dürfte ja nix mehr übrig bleiben, richtig?


----------

