TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen

14.09.2004, 18:09
...neu hier

Beiträge: 6
#16 Hier also das Erfolgsprotokoll:

eScan herunter geladen und das Update gefahren.

- Im Abgesicherten Modus gestartet und als Admin eingeloggt

- (nochmal) im Abgesicherten Modus (diese Mal) mit Netzwerkunterstützung gestartet (um bei DSL Internet zu haben) und als Admin eingeloggt

- http://www.bsi.de/av/texte/winsave.htm besucht und festgestellt, dass ich das ja gerade eben gemacht habe! *g* (kleiner Tipp: Dern Link in Zukunft vielleicht als das markieren, was er ist, nämlich als Tutorial für nen Abgesicherten Modus Start)

- mwav.exe gesucht und nichts gefunden....

- alternativ auf mwavscan.exe umgestiegen, die sich in C:\base befindet (es gibt nur eine mwav.ini)

- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
(x) Scan All Files

- Clean-Scan gedrückt

// 3 h 57 min 30 sec und 295.633 Dateien Später, wobei der Windows Ordner jetzt 2x gescannt wurde


Zitat

eScan AntiVirus Toolkit
File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\WINDOWS\biprep.exe infected by "not-a-virus:AdvWare.BiSpy.a" Virus. Action Taken: File Renamed.
File C:\j2sdk1.4.2_03\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\j2sdk1.4.2_03\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File D:\Together6.0.1\jdk\demo\applets\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File E:\Installationsprogramme\Cleanex\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Installationsprogramme\HijackThis\backups\backup-20040914-130856-769.dll infected by "not-a-virus:AdvWare.ToolBar.IeSearchBar" Virus. Action Taken: File Renamed.
File E:\Installationsprogramme\VNC\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.


Tue Sep 14 18:04:17 2004 => ***** Checking for specific ITW Viruses *****
Tue Sep 14 18:04:17 2004 => Checking for Welchia Virus...
Tue Sep 14 18:04:17 2004 => Checking for LovGate Virus...
Tue Sep 14 18:04:17 2004 => Checking for CodeRed Virus...
Tue Sep 14 18:04:17 2004 => Checking for OpaServ Virus...
Tue Sep 14 18:04:17 2004 => Checking for Sobig.e Virus...
Tue Sep 14 18:04:17 2004 => Checking for Winupie Virus...
Tue Sep 14 18:04:17 2004 => Checking for Swen Virus...
Tue Sep 14 18:04:17 2004 => Checking for JS.Fortnight Virus...
Tue Sep 14 18:04:17 2004 => Checking for Novarg Virus...
Tue Sep 14 18:04:17 2004 => Checking for Pagabot Virus...
Tue Sep 14 18:04:17 2004 => Checking for Parite.b Virus...
Tue Sep 14 18:04:17 2004 => Checking for Parite.a Virus...

Tue Sep 14 18:04:18 2004 => ***** Scanning complete. *****
Tue Sep 14 18:04:18 2004 => Total Number of Files Scanned: 295633
Tue Sep 14 18:04:18 2004 => Total Number of Virus(es) Found: 12
Tue Sep 14 18:04:18 2004 => Total Number of Disinfected Files: 0
Tue Sep 14 18:04:18 2004 => Total Number of Files Renamed: 2
Tue Sep 14 18:04:18 2004 => Total Number of Deleted Files: 0
Tue Sep 14 18:04:18 2004 => Total Number of Errors: 6
Tue Sep 14 18:04:18 2004 => Time Elapsed: 03:57:30
Tue Sep 14 18:04:18 2004 => Virus Database Date: 2004/09/08
Tue Sep 14 18:04:18 2004 => Virus Database Count: 103474

Tue Sep 14 18:04:18 2004 => Scan Completed.
Mal sehn, vielleicht lass ich ihn wirklich noch mal heute Nacht Scannen! Alles weitere gibt es dann morgen!

Gruß,
Maltok
Dieser Beitrag wurde am 14.09.2004 um 18:11 Uhr von Maltok editiert.
Seitenanfang Seitenende
14.09.2004, 21:45
Member
Avatar Ajax

Beiträge: 890
#17 @Maltok

Zitat

@Sabrina: Deine Anleitung scheint ja ziemlich detailiert, aber ich glaube, wenn ich die o.g. Anleitung Step by Step durchlaufe mache ich mehr kaputt als heile, oder?
Sag mal,pflegst Du vor dem Tippen auch mal denken oder tust Du es reflexartig?
Manche haben nämlich das Problem daß ihre Finger viel schneller sind als ihr Denkapparat.
Jedenfalls dürften Bemerkungen wie deine ein wahrer Motivavationsschub für Hilfeleistende sein.
Übrigens die Angesprochene heißt Sabina und nicht Sabrina.

Zitat

Irgendwann muss ich an dem Rechner auch noch mal weiter arbeiten...
Mit andere Worte also,gib Gas,Du hälst mich nur unnötig von der Arbeit auf denn soviel Zeit wie Du hab ich nicht.

Ajax
Seitenanfang Seitenende
15.09.2004, 01:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 Danke@Ajax ;)
..............................................................................................................
@Maltok
Der Trojaner wurde umbenannt, war in:
C:\WINDOWS\biprep.exe
und natuerlich im
E:\Installationsprogramme\HijackThis\backups\backup-20040914-130856-769.dll infected by "not-a-virus:AdvWare.ToolBar.IeSearchBar" Virus. Action Taken: File Renamed.
(was du nach erfolgreicher Saueberung loeschen solltest.)

Weitere Sicherheitstipps werde ich mir verkneifen, denn da ich nicht vor deinem PC sitze und wie von dir richtig erkannt, das Reinigen und Absichern aus der Ferne auch immer ein Risiko darstellt.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.09.2004 um 01:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
15.09.2004, 08:33
...neu hier

Beiträge: 6
#19

Zitat

Ajax postete
@Maltok

Zitat

@Sabrina: Deine Anleitung scheint ja ziemlich detailiert, aber ich glaube, wenn ich die o.g. Anleitung Step by Step durchlaufe mache ich mehr kaputt als heile, oder?
Sag mal,pflegst Du vor dem Tippen auch mal denken oder tust Du es reflexartig?
Manche haben nämlich das Problem daß ihre Finger viel schneller sind als ihr Denkapparat.
Jedenfalls dürften Bemerkungen wie deine ein wahrer Motivavationsschub für Hilfeleistende sein.
Übrigens die Angesprochene heißt Sabina und nicht Sabrina.

Zitat

Irgendwann muss ich an dem Rechner auch noch mal weiter arbeiten...
Mit andere Worte also,gib Gas,Du hälst mich nur unnötig von der Arbeit auf denn soviel Zeit wie Du hab ich nicht.

Ajax
Hast du nichts besseres zu tun als Leute zu lamen?
Mit meiner Bemerkung, dass ich mehr kaputt machen könnte, wollte ich lediglich darauf hinaus, dass der Scan mit HijackThis von Alex78 von meinem Scan abweicht.

Für den Hinweis, dass ich mich verlesen haben, als ich Sabrina las wo Sabina steht bin ich dir dennoch dankbar. Aber den Rest deines Post hättest du dir sparen können!

Und mir vorwerfen, ob ich vor dem Tippen denke! *lol* Nur weil jemand neu ist, ist er kein DAU!

Und für den Falls dass es dich wirklich Interessiert: Auf dem Rechner, der mit dem Trojaner zu kämpfen hat ist meine Studienarbeit. Ich habe in wenigen Wochen Abgabe und hab gestern durch die Säuberungsaktion einfach Zeit verloren. Der Trojaner musste runter. Keine Frage. Aber 2x 4 Stunden Scannen ist schon ein Aufwand. Und Sabina wollte ich damit bestimmt nicht den Vorwurf machen.
......................................................................................................

Und jetzt: Back to Topic:

@Sabina
(Ab jetzt ohne R ;) )
Ich hab in der letzten Nacht noch mal gescannt und tatsächlich noch was gefunden, was im Abgesicherten Modus nicht gefunden wurde.

Zitat

eScan AntiVirus Toolkit
File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\WinVNC.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Thunderbird\Profiles\default\w36pj4nb.slt\Mail\hp00.rz.tu-harburg.de\Inbox infected by "TrojanDownloader.JS.Gen" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Thunderbird\Profiles\default\w36pj4nb.slt\Mail\hp00.rz.tu-harburg.de\Junk infected by "TrojanDownloader.JS.Gen" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Anwendungsdaten\Thunderbird\Profiles\default\w36pj4nb.slt\Mail\hp00.rz.tu-harburg.de\Trash infected by "TrojanDownloader.JS.Gen" Virus. Action Taken: File Deleted.
File C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Del91.tmp infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Deleted.
File C:\j2sdk1.4.2_03\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\j2sdk1.4.2_03\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.
File D:\Together6.0.1\jdk\demo\applets\BarChart\Chart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File E:\Installationsprogramme\Cleanex\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File E:\Installationsprogramme\VNC\vnc-3.3.7-x86_win32.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken.

Wed Sep 15 01:31:08 2004 => ***** Checking for specific ITW Viruses *****
Wed Sep 15 01:31:08 2004 => Checking for Welchia Virus...
Wed Sep 15 01:31:08 2004 => Checking for LovGate Virus...
Wed Sep 15 01:31:08 2004 => Checking for CodeRed Virus...
Wed Sep 15 01:31:09 2004 => Checking for OpaServ Virus...
Wed Sep 15 01:31:09 2004 => Checking for Sobig.e Virus...
Wed Sep 15 01:31:09 2004 => Checking for Winupie Virus...
Wed Sep 15 01:31:09 2004 => Checking for Swen Virus...
Wed Sep 15 01:31:09 2004 => Checking for JS.Fortnight Virus...
Wed Sep 15 01:31:09 2004 => Checking for Novarg Virus...
Wed Sep 15 01:31:09 2004 => Checking for Pagabot Virus...
Wed Sep 15 01:31:09 2004 => Checking for Parite.b Virus...
Wed Sep 15 01:31:09 2004 => Checking for Parite.a Virus...

Wed Sep 15 01:31:09 2004 => ***** Scanning complete. *****
Wed Sep 15 01:31:09 2004 => Total Number of Files Scanned: 277853
Wed Sep 15 01:31:09 2004 => Total Number of Virus(es) Found: 15
Wed Sep 15 01:31:09 2004 => Total Number of Disinfected Files: 0
Wed Sep 15 01:31:09 2004 => Total Number of Files Renamed: 0
Wed Sep 15 01:31:09 2004 => Total Number of Deleted Files: 4
Wed Sep 15 01:31:09 2004 => Total Number of Errors: 7
Wed Sep 15 01:31:09 2004 => Time Elapsed: 03:45:01
Wed Sep 15 01:31:09 2004 => Virus Database Date: 2004/09/08
Wed Sep 15 01:31:09 2004 => Virus Database Count: 103474

Wed Sep 15 01:31:09 2004 => Scan Completed.
Neues HijackThis Log:

Zitat

Logfile of HijackThis v1.98.2
Scan saved at 08:29:23, on 15.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Wintab32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
D:\Matlab6.5\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\taskswitch.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\WINDOWS\System32\ZPOINT32.exe
C:\Programme\WinExposé\wex.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Babylon\Babylon.exe
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\GPGshell\GPGtray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
E:\Installationsprogramme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.28.41.1:3128
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe Acecad
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [ZPOINT32] C:\WINDOWS\System32\ZPOINT32.exe
O4 - HKLM\..\Run: [WinExpose] "C:\Programme\WinExposé\wex.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Startup: GPGtray.lnk = C:\Programme\GPGshell\GPGtray.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
Wenn man jetzt weiß, dass EzButton.exe die Datei ist, die die Sondertasten hier mal Laptop verwaltet / steuert (wie auch immer man sagen will) sieht das doch ganz gut aus, oder?

Schon mal vielen Dank für deine Hilfe!

Gruß,
Maltok
Seitenanfang Seitenende
15.09.2004, 12:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo @Maltok

Wenn die Vorgehensweise bei dir anders war, als bei @Alex78, so solltest du nicht gleich misstrauisch werden.
Kein Log gleicht dem anderen .... ;)

Der aufgewendete Zeit, im Normalmodus noch mal zu scannen, hat sich ja sichtlich als gut investiert herausgestellt, wenn man sieht, dass dein Mail voellig verseucht war und zwar von Trojanern, die nun saemtliche email-Adressen und deren Inhalt an ihre "Besitzer" uebermittelt haben.

Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung .

Ich wuensche dir Erfolg bei deiner Studienarbeit.
Du solltest fuer Notfaelle immer ein BackUp wichtiger Dokumente erstellen........

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.09.2004, 16:54
...neu hier

Beiträge: 10
#21 Hallo Boardies,

ich glaube, ich habe mir heute auch den TR/Spy.Briss.G eingefangen. Beim Surfen bekam ich eine Nachricht von meinem Internetanbieter, dass irgendwas nicht stimmt. Daraufhin bin ich gleich aus dem Netzt gegangen und habe mit AntiVir (upgedatete Version) alle Dateien durchsucht.

Und siehe da: Hat auch Briss was gefunden und gelöscht, außer der bridge-Datei, aber die habe ich dann manuell gelöscht (Datei gesucht&gefunden und gelöscht). Danach habe ich nochmal AntiVir durchgejagt und der hatte dann auch nichts mehr gefunden. Die Temporary Internet Files sind auch gelöscht und leer. So weit so gut.

Hab trotzdem ein mulmiges Gefühl - bin ich Briss wirklich los? Habe nicht gerade viel Ahnung von Computern und fand das dafür dann doch irgendwie zu einfach. Was meint ihr? Würde mich über Antwort und Hilfe sehr freuen!

Danke!
Kes
Seitenanfang Seitenende
23.09.2004, 11:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 Hallo @kes
http://www.hijackthis.de/index.php
Lade das HijackThis (Direktdownload), scann, save und kopiere es ins Forum.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.09.2004, 16:56
...neu hier

Beiträge: 10
#23 Hallo Sabina,

danke für die schnelle Antwort! Mein Mitbewohner hat mir vorgestern noch Norton AntiVirus auf den Computer geladen. Das Programm hat auch was gefunden und entfernt. Würde mich trotzdem sehr freuen, wenn du mein Logfile unter die Lupe nehmen könntest. Wer weiß, was sich da noch mysteriöses oder gar fieses versteckt...

Vielen Dank!

Liebe Grüße,
Kes

Logfile of HijackThis v1.98.2
Scan saved at 16:49:39, on 24.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kersi\LOKALE~1\Temp\Rar$EX01.161\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095860933344
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
Seitenanfang Seitenende
25.09.2004, 00:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 Hi @kes

Fixe mit dem HijackThis:
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.09.2004 um 00:18 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.09.2004, 02:07
...neu hier

Beiträge: 10
#25 Ok, vielen Dank! Ich werde mich morgen/heute früh gleich einmal daran versuchen. Aber ein paar Fragen hab ich noch, um auch alles richtig zu machen (bin wirklich ein furchtbarer Laie!): Programm updaten bekomme ich noch hin. Alle Anwendungen schließen: Im Task Manager? Oder einfach nur kein anderes Fenster auf dem Computer offen haben??? Browserfenster geschlossen, heißt, nur das Bild von meinem Desktop, richtig? Scannen im Abgesicherten Modus oder reicht der normale? - Tut mir leid, das ist echt Fachlatein für mich...

Und, Sabina, ganz ehrlich, wie schlimm ist es? Was hab ich mir da zugezogen? Bankkonto sprerren, Freunde alarmieren oder kann ich nachts noch ruhig schlafen???

Ich poste dann später mein neues Logfile, nur um auf Nummer Sicher zu gehen, dass alles geklappt hat.

Bis bald also,

Kes
Seitenanfang Seitenende
25.09.2004, 10:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#26 Hallo @kes

AdAware:
Es bedeutet, dass du waehrens des Scanns nicht im Net surfen sollst, und keine andere Anwendung offen haben sollst.

Darstellung :< bridge.dll<Droppers DR/Bridge.A.2

Gehe in:
Start<Ausfuehren reinkopieren: %temp%

C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X3DHG5EW
bridge[1].cab--«« bridge.dll
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1QFMJWX
bridge[1].cab--««bridge.dll
ArchiveType: CAB (Microsoft)
...
....
......

Um die Malware zu lokalisieren\loeschen (denn AdAware wird das eventuell nicht schaffen....) mache folgendes:

1.Schritt:
Du kannst einfach alles in diesem Ordner loeschen:
C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5
und:: http://www.icra.org/_de/icraplus/help/clearingthecacheie.htm

2. Schritt:
Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus:
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.
<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal

3. Schritt:
Mit AdAware scannen(wie beschrieben)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.09.2004 um 10:46 Uhr von Sabina editiert.
Seitenanfang Seitenende
25.09.2004, 16:10
...neu hier

Beiträge: 10
#27 Hallo Sabina,

die ganze Prozedur hat etwas gadauert, aber ich bin voller Zuversicht, dass sie es wert war : ) Hiermit konnte ich zwar nicht so viel anfangen, aber das andere hat ganz gut geklappt:

Zitat

Darstellung :< bridge.dll<Droppers DR/Bridge.A.2

Gehe in:
Start<Ausfuehren reinkopieren: %temp%

C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X3DHG5EW
bridge[1].cab--«« bridge.dll
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1QFMJWX
bridge[1].cab--««bridge.dll
ArchiveType: CAB (Microsoft)
...
....
......
Hier ersteinmal, was mir eScan im Abgesicherten Modus geliefert hat:
File C:\Programme\j2sdk1.4.1_01\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\j2sdk1.4.1_01\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\System Volume Information\_restore{298F8690-455D-443B-899A-7FF581992B7B}\RP42\A0027041.exe infected by "Trojan.Win32.StartPage.ee" Virus. Action Taken: File Deleted.



Im normalen Modus sah das dann so aus:

File C:\Programme\j2sdk1.4.1_01\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\j2sdk1.4.1_01\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.



Und hier ist das neue Log von HijackThis:
Logfile of HijackThis v1.98.2
Scan saved at 15:56:05, on 25.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Kersi\LOKALE~1\Temp\Rar$EX00.009\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de/
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095860933344

Ich werde jetzt mit AdAware scannen und melde mich dann wieder.

Liebe Grüße,
Kes
Dieser Beitrag wurde am 25.09.2004 um 16:18 Uhr von kes editiert.
Seitenanfang Seitenende
25.09.2004, 17:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#28 Hallo @kes ;)

Ich wollte sagen , dass sich in diesem Ordner
C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5

unter verschiedenen Bezeichnungen der Bridge befindet.
C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X3DHG5EW
bridge[1].cab--«« bridge.dll
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1QFMJWX
bridge[1].cab--««bridge.dll
...
......

Deshalb sollte man den gesamten Inhalt der <Content.IE5< loeschen (nicht den Ordner selbst)
Wenn man Start<Ausfuehren %temp% reinkopiert und <enter< kommt man direkt zu den Temporary-Ordnern ;)

Das Log ist sauber !

#Sicherheitstip:
Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.09.2004 um 17:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.09.2004, 00:41
...neu hier

Beiträge: 10
#29 Hallo @Sabina,

tut mir leid, dass meine Antwort nun so lange gedauert hat; dieses Wochenende war einfach tierisch stressig...

Jedenfalls möchte ich dir ganz aufrichtig Danke sagen, dass du mir geholfen hast! Das gibt es heute ja (leider!) nicht mehr so oft, dass Leute ihr Wissen und vor allem ihre Zeit investieren, um anderen zu helfen, die sich sehr wahrscheinlich selbst durch ihre eigenen Unachtsamkeit in eine mißlige Lage befördert haben.

Vielen Dank!

Ich wünsche dir alles Gute,
Kes
Seitenanfang Seitenende
25.10.2004, 01:08
...neu hier

Beiträge: 10
#30 hallo
ich hab ein prob ich hab den dummen trjaner nur ich bekomm dne nit aus dieser datei raus:

C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4O3U263C
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2

der escaner hats umbenannt aber trozdem möchte genr wissen wie ich das weg bekomme thx


bitte um hilfe hier mein hijack

Logfile of HijackThis v1.98.2
Scan saved at 01:04:18, on 25.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\Chris\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Chris\LOKALE~1\Temp\kavss.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Ventrilo\Ventrilo.exe
D:\Programme\MIRC 2\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe
O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2E4EE5-76A1-44BF-BC7B-82439394CA0C}: NameServer = 217.237.150.97 217.237.149.161
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll
Dieser Beitrag wurde am 25.10.2004 um 03:02 Uhr von Darki2k editiert.
Seitenanfang Seitenende