Downloader.small.7.az (AVG) + TR/Click.Small.CG (AV Personal) - Spyware Hilfe

Home » Spyware & Browser Hijacker Support Forum » Downloader.small.7.az (AVG) + TR/Click.Small.CG (AV Personal) » Themenansicht

Seite(n): 1

Antworten

Downloader.small.7.az (AVG) + TR/Click.Small.CG (AV Personal)

10.12.2004, 17:29 Miko ...neu hier Beiträge: 4	#1 Hallo! Kann mir bitte jemand helfen? Seit Tagen versuche ich div. Trojaner wie Downloader.small.7.az (AVG) + TR/Click.Small.CG + TR/Dldr.... (AV Personal), die zwar von Antivirenprogrammen erkannt, aber leider nicht gelöscht werden, loszuwerden. Ich habe Adaware, Spybot, AVG (Grisoft) und AV Personal versucht, wirklich Abhilfe hat aber kein Scanner geschaffen. Alle Virenscanner sind sowohl normal als auch im abgesicherten Modus gelaufen (auch System-Wiederherstellung deaktiviert. Hier das HijackThis Logfile: Logfile of HijackThis v1.98.2 Scan saved at 17:07:11, on 10.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: http://*.search-soft.net O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1100872434303 Weiß vielleicht jemand Rat, wie ich wieder Ruhe bekomme? Gruss Miko

11.12.2004, 23:03 Sabina Ehrenmitglied Beiträge: 29434	#2 Hallo@Miko #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank O2 - BHO: (no name) - {E9590744-812B-46C3-96EB-33212855927D} - C:\WINDOWS\System32\netcfg.dll (file missing) O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\System32\iecust.dll O15 - Trusted Zone: http://.search-soft.net O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab Neustart 1.) öffne das HijackThis:* 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: C:\WINDOWS\System32\netcfg.dll 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\System32\iecust.dll Erst beim letzten klickst du "Yes" und startest den PC neu. #C:\Windows\Downloaded Programm Files\ -->löschen (nur das WindowsUpdate nicht, alles andere, ja) Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k Gehe in die Registry Start<Ausfuehren<regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\ loesche: http://.search-soft.net* arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten, bzw die Dateien im abgesicherten Modus loeschen #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein und poste das neue Log vom HijackThis, bitte. Tip: #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.12.2004 um 14:35 Uhr von Sabina editiert.

13.12.2004, 00:34 Miko ...neu hier Themenstarter Beiträge: 4	#3 Hallo Sabina! Vielen Dank für Deine schnelle Hilfe! Ich bin Deiner Anleitung gefolgt und habe mit eScan folgende Funde gehabt: Mon Dec 13 00:07:07 2004 => File C:\WINDOWS\System32\clfmon.exe infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken. Mon Dec 13 00:07:34 2004 => File C:\WINDOWS\System32\getdns.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Mon Dec 13 00:08:33 2004 => File C:\WINDOWS\System32\odbcfg32.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken. Mon Dec 13 00:08:36 2004 => File C:\WINDOWS\System32\p2pserv.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken. Mon Dec 13 00:08:48 2004 => File C:\WINDOWS\System32\rsn.exe infected by "Trojan-Clicker.Win32.Small.br" Virus. Action Taken: No Action Taken. Mon Dec 13 00:09:06 2004 => File C:\WINDOWS\System32\syspack.dll infected by "Trojan.Win32.Agent.r" Virus. Action Taken: No Action Taken. Die habe ich dann alle mit Killbox gelöscht. Das neue HijackThis-Log lautet wie folgt: Logfile of HijackThis v1.98.2 Scan saved at 00:30:40, on 13.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Oleco\_Oleco.exe C:\WINDOWS\msagent\AgentSvr.exe C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{05A695E7-2E1F-4178-B268-F073B129DA14}: NameServer = 62.53.186.3 193.189.244.205 O17 - HKLM\System\CS1\Services\Tcpip\..\{05A695E7-2E1F-4178-B268-F073B129DA14}: NameServer = 62.53.186.3 193.189.244.205 Ist da noch etwas auffälliges zu sehen? Gruss Miko

13.12.2004, 14:37 Sabina Ehrenmitglied Beiträge: 29434	#4 Hallo@Miko #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank 1) lade rem.zip herunter Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip 2) entpacke es im verzeichnis C:\WINDOWS\System32\ (es ist wichtig, dass es in diesem verzeichnis ist!) 3) starte den rechner im abgesicherten modus. http://www.tu-berlin.de/www/software/virus/savemode.shtml 4) starte die datei rem.bat, scannen lassen. 5) starte den rechner anschließend im normalen modus. 6) unter C:\ sollte nun eine datei namens log.txt zu finden sein. 7) markiere den inhalt und füge ihn hier ein. erstelle ein aktuelles HijackThis log und poste es mit der log.txt von rem. HijackThis/1.99 BETA Version Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip _____________________________________________________________________________ #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein und poste das neue Log vom HijackThis, bitte. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 13.12.2004 um 14:50 Uhr von Sabina editiert.

13.12.2004, 23:01 Miko ...neu hier Themenstarter Beiträge: 4	#5 Hallo Sabina! Gemacht! log.txt der rem.bat sieht so aus: Microsoft Windows XP [Version 5.1.2600] C:\WINDOWS\system32 "Files found" --------------------------------------------------------------------- Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ sfcver.exe Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "netcfg.dll"="" "odbcfg32.dll"="" "p2pserv.dll"="" "clfmon.exe"="" "netssh.exe"="" "syspack.dll"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes] "taskrun.exe"="" "trayinfo.exe"="" "subsys.exe"="" "spoolsvc.exe"="" "smlogvcc.exe"="" "sessngr.exe"="" "rsvxp.exe"="" "rsn.exe"="" "rexecs.exe"="" "resrvc32.exe"="" "rcip.exe"="" "proxyconf.exe"="" "powerconf.exe"="" "pingnet.exe"="" "dnsping.exe"="" "odcfg.exe"="" "netstart.exe"="" "netdns.exe"="" "getdns.exe"="" "msswchxp.exe"="" "msng.exe"="" "msinfo.exe"="" "netssl.exe"="" "netdetect.exe"="" "sfcver.exe"="" "clfmon.exe"="" "netssh.exe"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys] "{98DBBF16-CA43-4c33-BE80-99E6694468A4}"="" "{E9590744-812B-46C3-96EB-33212855927D}"="" "Files"="" "Ms4Hd"="" "Processes"="" "RegKeys"="" "RegValues"="" "Vendor"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues] "clfmon.exe"="" "netssh.exe"="" "sessngr.exe"="" "spoolsvc.exe"="" ----------------------------------------------------------------- Done und hier das HijackThis log: Logfile of HijackThis v1.99.0 (BETA) Scan saved at 22:52:43, on 13.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WinZip\WZQKPICK.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Gibt's noch mehr zu tun? Vielen Dank im Voraus! Gruss Miko

13.12.2004, 23:46 Sabina Ehrenmitglied Beiträge: 29434	#6 Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 starte neu und aktiviere sie wieder. Das Log ist sauber, der Trojaner geloescht __________ MfG Sabina rund um die PC-Sicherheit

14.12.2004, 00:19 Miko ...neu hier Themenstarter Beiträge: 4	#7 Taussenddank! Hätte ich ohne Deine Hilfe nie hinbekommen! Gruß Miko

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1

Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten