W32.hllw.gaobot |
|
---|---|
09.12.2004, 19:44
...neu hier
Beiträge: 8 |
|
|
|
10.12.2004, 12:20
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@kribbel
1) lade rem.zip http://forums.skads.org/index.php?showtopic=80 (dort im 1. Posting von Baskar unter Attached File(s)!). 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip 1.Log Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Lade:Attached File(s) swap.zip ( 45.7k ) http://forums.skads.org/index.php?showtopic=81&st=0&p=187entry187 klicke auf: swap.bat PC neustarten suche: c:\swap.txt und c:\log.txt und poste den Text __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.12.2004 um 12:21 Uhr von Sabina editiert.
|
|
|
10.12.2004, 17:10
...neu hier
Themenstarter Beiträge: 8 |
#3
Windows Millennium [Version 4.90.3000]
ECHO ist eingeschaltet (ON) "Files found" --------------------------------------------------------------------- Zipping up Files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- ----------------------------------------------------------------- Done Logfile of HijackThis v1.99.0 (BETA) Scan saved at 16:58:21, on 10.12.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\LEXBCES.EXE C:\WINDOWS\SYSTEM\RPCSS.EXE C:\WINDOWS\SYSTEM\LEXPPS.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\LXDBOXCP.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE C:\PROGRAMME\WEBROOT\SPY SWEEPER\SPYSWEEPER.EXE C:\PROGRAMME\EUMEX 604PC HOMENET\CAPICTRL.EXE C:\PROGRAMME\EUMEX 604PC HOMENET\HNETCTRL.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\PROGRAMME\CALLISA\CALLISA.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\TEMP\TD_0001.DIR\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi.com/ R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) F1 - win.ini: run=C:\WINDOWS\SYSTEM\lxdboxcp.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - HKCU\..\RunServices: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0 O4 - Startup: CAPI Control.lnk = C:\Programme\Eumex 604PC HomeNet\Capictrl.exe O4 - Startup: HomeNet Control.lnk = C:\Programme\Eumex 604PC HomeNet\HNetCtrl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRAMME\AGNITUM\OUTPOST FIREWALL 1.0\TRASH.EXE (file missing) (HKCU) O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab |
|
|
10.12.2004, 17:12
...neu hier
Themenstarter Beiträge: 8 |
#4
das swap.bat kann ich in dem link leider nicht finden, muss jetzt auch weg, werde morgen nochmal nachschauen.
|
|
|
10.12.2004, 23:40
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo@kribbel
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file) O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL PC neustarten 1.) öffne das HijackThis: 2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot 3.) kopiere rein: C:\PROGRAMME\MYWAY\MYBAR\1.BIN\MYBAR.DLL 4.) PC neustarten arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Mache die WindowsUpdates: http://www.microsoft.com/windowsme/update/default.asp #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.12.2004 um 00:49 Uhr von Sabina editiert.
|
|
|
15.12.2004, 17:15
...neu hier
Themenstarter Beiträge: 8 |
#6
Hi Sabina,
vielen Dank erstmal. Leider habe ich immer noch Probleme, komme in delete a file on reboot nicht rein und die windowsupdates kann ich schon seit ewigkeiten nicht mehr ausführen. |
|
|
15.12.2004, 18:10
...neu hier
Themenstarter Beiträge: 8 |
#7
Neuerdings bekomme ich immer diese Meldung, wenn ich kazaa öffnen möchte:
CLEAN verursachte einen Fehler durch eine ungültige Seite in Modul CLEAN.KMD bei 01a7:0053f73c. Register: EAX=00000000 CS=01a7 EIP=0053f73c EFLGS=00010246 EBX=00000000 SS=01af ESP=00a5f228 EBP=01cd21e0 ECX=00000000 DS=01af ESI=00a5f91c FS=333f EDX=817c1928 ES=01af EDI=02cd930c GS=0000 Bytes bei CS:EIP: |
|
|
16.12.2004, 10:45
Ehrenmitglied
Beiträge: 29434 |
#8
Hallo@kribbel
arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 deinstalliere das Tool kazaa und dann installiere neu (falls du das wirklich brauchst) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 16.12.2004 um 10:46 Uhr von Sabina editiert.
|
|
|
29.12.2004, 20:03
...neu hier
Themenstarter Beiträge: 8 |
#9
Hi Sabina,
habe eScan durchlaufen lassen, allerdings wird nichts gelöscht. Wäre nett, wenn du dir das protokoll nochmal anschaust. Vielen Dank, Kribbel Wed Dec 29 19:32:35 2004 => ***** Scanning complete. ***** Wed Dec 29 19:32:35 2004 => Total Files Scanned: 78588 Wed Dec 29 19:32:35 2004 => Total Virus(es) Found: 6 Wed Dec 29 19:32:35 2004 => Total Disinfected Files: 0 Wed Dec 29 19:32:35 2004 => Total Files Renamed: 0 Wed Dec 29 19:32:35 2004 => Total Deleted Files: 0 Wed Dec 29 19:32:35 2004 => Total Errors: 1 Wed Dec 29 19:32:35 2004 => Time Elapsed: 00:54:24 Wed Dec 29 19:32:35 2004 => Virus Database Date: 2004/12/13 Wed Dec 29 19:32:35 2004 => Virus Database Count: 112401 Wed Dec 29 19:32:35 2004 => Scan Completed. File C:\WINDOWS\TEMP\GL_6115.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\TEMP\GL_6131.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\TEMP\bb.exe infected by "not-a-virus:AdWare.BargainBuddy.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMP\asmfiles.cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\4HA3GDMF\asmfiles[1].cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TEMPOR~1\CONTENT.IE5\038ZSJO3\asmfiles[1].cab infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken. Traces of "Parite.b" found and cleaned !!! |
|
|
29.12.2004, 20:58
Ehrenmitglied
Beiträge: 29434 |
#10
Hallo@kribbel
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Leere folgende Ordnerfalls du eine index.bat findest...die nicht loeschen) C:\WINDOWS\TEMP\ C:\WINDOWS\TEMPOR~1\CONTENT.IE5\ dann musste alles o.k. sein (der Parite.b ist ja geloescht) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 29.12.2004 um 21:00 Uhr von Sabina editiert.
|
|
|
04.01.2005, 00:10
...neu hier
Beiträge: 1 |
#11
Hier wurde erwähnt daß das WindowsUpdate schon lange nicht mehr funktioniert.
diesen Namen in die AUSFÜHREN schreiben: regsvr32 wuaueng.dll dann funktioniert wieder alles, und man kann wieder über Windows updaten |
|
|
Danke, Kribbel