TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen |
|
---|---|
14.09.2004, 18:09
...neu hier
Beiträge: 6 |
|
|
|
14.09.2004, 21:45
Member
Beiträge: 890 |
#17
@Maltok
Zitat @Sabrina: Deine Anleitung scheint ja ziemlich detailiert, aber ich glaube, wenn ich die o.g. Anleitung Step by Step durchlaufe mache ich mehr kaputt als heile, oder?Sag mal,pflegst Du vor dem Tippen auch mal denken oder tust Du es reflexartig? Manche haben nämlich das Problem daß ihre Finger viel schneller sind als ihr Denkapparat. Jedenfalls dürften Bemerkungen wie deine ein wahrer Motivavationsschub für Hilfeleistende sein. Übrigens die Angesprochene heißt Sabina und nicht Sabrina. Zitat Irgendwann muss ich an dem Rechner auch noch mal weiter arbeiten...Mit andere Worte also,gib Gas,Du hälst mich nur unnötig von der Arbeit auf denn soviel Zeit wie Du hab ich nicht. Ajax |
|
|
15.09.2004, 01:21
Ehrenmitglied
Beiträge: 29434 |
#18
Danke@Ajax
.............................................................................................................. @Maltok Der Trojaner wurde umbenannt, war in: C:\WINDOWS\biprep.exe und natuerlich im E:\Installationsprogramme\HijackThis\backups\backup-20040914-130856-769.dll infected by "not-a-virus:AdvWare.ToolBar.IeSearchBar" Virus. Action Taken: File Renamed. (was du nach erfolgreicher Saueberung loeschen solltest.) Weitere Sicherheitstipps werde ich mir verkneifen, denn da ich nicht vor deinem PC sitze und wie von dir richtig erkannt, das Reinigen und Absichern aus der Ferne auch immer ein Risiko darstellt. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 01:26 Uhr von Sabina editiert.
|
|
|
15.09.2004, 08:33
...neu hier
Beiträge: 6 |
#19
Zitat Ajax posteteHast du nichts besseres zu tun als Leute zu lamen? Mit meiner Bemerkung, dass ich mehr kaputt machen könnte, wollte ich lediglich darauf hinaus, dass der Scan mit HijackThis von Alex78 von meinem Scan abweicht. Für den Hinweis, dass ich mich verlesen haben, als ich Sabrina las wo Sabina steht bin ich dir dennoch dankbar. Aber den Rest deines Post hättest du dir sparen können! Und mir vorwerfen, ob ich vor dem Tippen denke! ** Nur weil jemand neu ist, ist er kein DAU! Und für den Falls dass es dich wirklich Interessiert: Auf dem Rechner, der mit dem Trojaner zu kämpfen hat ist meine Studienarbeit. Ich habe in wenigen Wochen Abgabe und hab gestern durch die Säuberungsaktion einfach Zeit verloren. Der Trojaner musste runter. Keine Frage. Aber 2x 4 Stunden Scannen ist schon ein Aufwand. Und Sabina wollte ich damit bestimmt nicht den Vorwurf machen. ...................................................................................................... Und jetzt: Back to Topic: @Sabina (Ab jetzt ohne R ) Ich hab in der letzten Nacht noch mal gescannt und tatsächlich noch was gefunden, was im Abgesicherten Modus nicht gefunden wurde. Zitat eScan AntiVirus ToolkitNeues HijackThis Log: Zitat Logfile of HijackThis v1.98.2Wenn man jetzt weiß, dass EzButton.exe die Datei ist, die die Sondertasten hier mal Laptop verwaltet / steuert (wie auch immer man sagen will) sieht das doch ganz gut aus, oder? Schon mal vielen Dank für deine Hilfe! Gruß, Maltok |
|
|
15.09.2004, 12:56
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo @Maltok
Wenn die Vorgehensweise bei dir anders war, als bei @Alex78, so solltest du nicht gleich misstrauisch werden. Kein Log gleicht dem anderen .... Der aufgewendete Zeit, im Normalmodus noch mal zu scannen, hat sich ja sichtlich als gut investiert herausgestellt, wenn man sieht, dass dein Mail voellig verseucht war und zwar von Trojanern, die nun saemtliche email-Adressen und deren Inhalt an ihre "Besitzer" uebermittelt haben. Backdoor Functionality http://www.trojaner-board.de/showpost.php?p=71796&postcount=9 #Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig http://oschad.de/wiki/index.php/Kompromittierung . Ich wuensche dir Erfolg bei deiner Studienarbeit. Du solltest fuer Notfaelle immer ein BackUp wichtiger Dokumente erstellen........ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
22.09.2004, 16:54
...neu hier
Beiträge: 10 |
#21
Hallo Boardies,
ich glaube, ich habe mir heute auch den TR/Spy.Briss.G eingefangen. Beim Surfen bekam ich eine Nachricht von meinem Internetanbieter, dass irgendwas nicht stimmt. Daraufhin bin ich gleich aus dem Netzt gegangen und habe mit AntiVir (upgedatete Version) alle Dateien durchsucht. Und siehe da: Hat auch Briss was gefunden und gelöscht, außer der bridge-Datei, aber die habe ich dann manuell gelöscht (Datei gesucht&gefunden und gelöscht). Danach habe ich nochmal AntiVir durchgejagt und der hatte dann auch nichts mehr gefunden. Die Temporary Internet Files sind auch gelöscht und leer. So weit so gut. Hab trotzdem ein mulmiges Gefühl - bin ich Briss wirklich los? Habe nicht gerade viel Ahnung von Computern und fand das dafür dann doch irgendwie zu einfach. Was meint ihr? Würde mich über Antwort und Hilfe sehr freuen! Danke! Kes |
|
|
23.09.2004, 11:35
Ehrenmitglied
Beiträge: 29434 |
#22
Hallo @kes
http://www.hijackthis.de/index.php Lade das HijackThis (Direktdownload), scann, save und kopiere es ins Forum. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
24.09.2004, 16:56
...neu hier
Beiträge: 10 |
#23
Hallo Sabina,
danke für die schnelle Antwort! Mein Mitbewohner hat mir vorgestern noch Norton AntiVirus auf den Computer geladen. Das Programm hat auch was gefunden und entfernt. Würde mich trotzdem sehr freuen, wenn du mein Logfile unter die Lupe nehmen könntest. Wer weiß, was sich da noch mysteriöses oder gar fieses versteckt... Vielen Dank! Liebe Grüße, Kes Logfile of HijackThis v1.98.2 Scan saved at 16:49:39, on 24.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Apoint2K\Apntex.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Kersi\LOKALE~1\Temp\Rar$EX01.161\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095860933344 O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab |
|
|
25.09.2004, 00:18
Ehrenmitglied
Beiträge: 29434 |
#24
Hi @kes
Fixe mit dem HijackThis: O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 00:18 Uhr von Sabina editiert.
|
|
|
25.09.2004, 02:07
...neu hier
Beiträge: 10 |
#25
Ok, vielen Dank! Ich werde mich morgen/heute früh gleich einmal daran versuchen. Aber ein paar Fragen hab ich noch, um auch alles richtig zu machen (bin wirklich ein furchtbarer Laie!): Programm updaten bekomme ich noch hin. Alle Anwendungen schließen: Im Task Manager? Oder einfach nur kein anderes Fenster auf dem Computer offen haben??? Browserfenster geschlossen, heißt, nur das Bild von meinem Desktop, richtig? Scannen im Abgesicherten Modus oder reicht der normale? - Tut mir leid, das ist echt Fachlatein für mich...
Und, Sabina, ganz ehrlich, wie schlimm ist es? Was hab ich mir da zugezogen? Bankkonto sprerren, Freunde alarmieren oder kann ich nachts noch ruhig schlafen??? Ich poste dann später mein neues Logfile, nur um auf Nummer Sicher zu gehen, dass alles geklappt hat. Bis bald also, Kes |
|
|
25.09.2004, 10:37
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo @kes
AdAware: Es bedeutet, dass du waehrens des Scanns nicht im Net surfen sollst, und keine andere Anwendung offen haben sollst. Darstellung :< bridge.dll<Droppers DR/Bridge.A.2 Gehe in: Start<Ausfuehren reinkopieren: %temp% C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X3DHG5EW bridge[1].cab--«« bridge.dll C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1QFMJWX bridge[1].cab--««bridge.dll ArchiveType: CAB (Microsoft) ... .... ...... Um die Malware zu lokalisieren\loeschen (denn AdAware wird das eventuell nicht schaffen....) mache folgendes: 1.Schritt: Du kannst einfach alles in diesem Ordner loeschen: C:\Dokumente und Einstellungen\\Lokale Einstellungen\Temporary Internet Files\Content.IE5 und:: http://www.icra.org/_de/icraplus/help/clearingthecacheie.htm 2. Schritt: Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.mwti.net/antivirus/free_utilities.asp die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. <gehe in den abgesicherten Modus: http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives folgende Haken : [x] Memory [x] Registry [x] Startup Folders [x] System Folders [x] Services [x] Drive (x) All Local Drives [x] Folder [C:\WINDOWS] [x] Include SubDirectory <und "Scan clean" klicken. <Gehe wieder in den Normalmodus und scanne noch mal. <Poste danach Virus Log Information: (aus Viewer abkopieren) was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal 3. Schritt: Mit AdAware scannen(wie beschrieben) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 10:46 Uhr von Sabina editiert.
|
|
|
25.09.2004, 16:10
...neu hier
Beiträge: 10 |
#27
Hallo Sabina,
die ganze Prozedur hat etwas gadauert, aber ich bin voller Zuversicht, dass sie es wert war : ) Hiermit konnte ich zwar nicht so viel anfangen, aber das andere hat ganz gut geklappt: Zitat Darstellung :< bridge.dll<Droppers DR/Bridge.A.2Hier ersteinmal, was mir eScan im Abgesicherten Modus geliefert hat: File C:\Programme\j2sdk1.4.1_01\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. File C:\Programme\j2sdk1.4.1_01\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. File C:\System Volume Information\_restore{298F8690-455D-443B-899A-7FF581992B7B}\RP42\A0027041.exe infected by "Trojan.Win32.StartPage.ee" Virus. Action Taken: File Deleted. Im normalen Modus sah das dann so aus: File C:\Programme\j2sdk1.4.1_01\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. File C:\Programme\j2sdk1.4.1_01\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken. Und hier ist das neue Log von HijackThis: Logfile of HijackThis v1.98.2 Scan saved at 15:56:05, on 25.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Apoint2K\Apoint.exe C:\Programme\TOSHIBA\TouchPad\TPTray.exe C:\Programme\TOSHIBA\Power Management\CePMTray.exe C:\Programme\TOSHIBA\E-KEY\CeEKey.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\Programme\Apoint2K\Apntex.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Kersi\LOKALE~1\Temp\Rar$EX00.009\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.tiscali.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sueddeutsche.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startseite.de/searchbar R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de/ O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1095860933344 Ich werde jetzt mit AdAware scannen und melde mich dann wieder. Liebe Grüße, Kes Dieser Beitrag wurde am 25.09.2004 um 16:18 Uhr von kes editiert.
|
|
|
25.09.2004, 17:01
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo @kes
Ich wollte sagen , dass sich in diesem Ordner C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5 unter verschiedenen Bezeichnungen der Bridge befindet. C:\Dokumente und Einstellungen/User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\X3DHG5EW bridge[1].cab--«« bridge.dll C:\Dokumente und Einstellungen\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1QFMJWX bridge[1].cab--««bridge.dll ... ...... Deshalb sollte man den gesamten Inhalt der <Content.IE5< loeschen (nicht den Ordner selbst) Wenn man Start<Ausfuehren %temp% reinkopiert und <enter< kommt man direkt zu den Temporary-Ordnern Das Log ist sauber ! #Sicherheitstip: Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe Opera http://www.opera7.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.09.2004 um 17:06 Uhr von Sabina editiert.
|
|
|
27.09.2004, 00:41
...neu hier
Beiträge: 10 |
#29
Hallo @Sabina,
tut mir leid, dass meine Antwort nun so lange gedauert hat; dieses Wochenende war einfach tierisch stressig... Jedenfalls möchte ich dir ganz aufrichtig Danke sagen, dass du mir geholfen hast! Das gibt es heute ja (leider!) nicht mehr so oft, dass Leute ihr Wissen und vor allem ihre Zeit investieren, um anderen zu helfen, die sich sehr wahrscheinlich selbst durch ihre eigenen Unachtsamkeit in eine mißlige Lage befördert haben. Vielen Dank! Ich wünsche dir alles Gute, Kes |
|
|
25.10.2004, 01:08
...neu hier
Beiträge: 10 |
#30
hallo
ich hab ein prob ich hab den dummen trjaner nur ich bekomm dne nit aus dieser datei raus: C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4O3U263C MediaTicketsInstaller[1].cab ArchiveType: CAB (Microsoft) --> MediaTicketsInstaller.ocx [FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2 der escaner hats umbenannt aber trozdem möchte genr wissen wie ich das weg bekomme thx bitte um hilfe hier mein hijack Logfile of HijackThis v1.98.2 Scan saved at 01:04:18, on 25.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\AVPersonal\AVGNT.EXE C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\DOKUME~1\Chris\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\Chris\LOKALE~1\Temp\kavss.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Ventrilo\Ventrilo.exe D:\Programme\MIRC 2\mirc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Downloads\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Lexmark X84-X85 Button Monitor] C:\PROGRA~1\LEXMAR~1\ACMonitor_X84-X85.exe O4 - HKLM\..\Run: [Lexmark X84-X85 Button Manager] C:\PROGRA~1\LEXMAR~1\AcBtnMgr_X84-X85.exe O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2D2E4EE5-76A1-44BF-BC7B-82439394CA0C}: NameServer = 217.237.150.97 217.237.149.161 O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll Dieser Beitrag wurde am 25.10.2004 um 03:02 Uhr von Darki2k editiert.
|
|
|
eScan herunter geladen und das Update gefahren.
- Im Abgesicherten Modus gestartet und als Admin eingeloggt
- (nochmal) im Abgesicherten Modus (diese Mal) mit Netzwerkunterstützung gestartet (um bei DSL Internet zu haben) und als Admin eingeloggt
- http://www.bsi.de/av/texte/winsave.htm besucht und festgestellt, dass ich das ja gerade eben gemacht habe! *g* (kleiner Tipp: Dern Link in Zukunft vielleicht als das markieren, was er ist, nämlich als Tutorial für nen Abgesicherten Modus Start)
- mwav.exe gesucht und nichts gefunden....
- alternativ auf mwavscan.exe umgestiegen, die sich in C:\base befindet (es gibt nur eine mwav.ini)
- folgende Hacken gesetzt:
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory
---------------------------------
(x) Scan All Files
- Clean-Scan gedrückt
// 3 h 57 min 30 sec und 295.633 Dateien Später, wobei der Windows Ordner jetzt 2x gescannt wurde
Zitat
Mal sehn, vielleicht lass ich ihn wirklich noch mal heute Nacht Scannen! Alles weitere gibt es dann morgen!Gruß,
Maltok