TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen

Home » Viren, Trojaner & Malware Forum » TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen » Themenansicht

Seite(n): 1 2 3 4

Antworten

TR/Spy.Briss.G und TR/Dldr.PurityS.E.2 entfernen

07.08.2004, 20:13 Alex78 ...neu hier Beiträge: 3	#1 Moin moin... ich habe mir auf einer Horoskopsite massivst viele Trojaner aufn PC gezogen...ganz toll!!! Einige habe ich schon runter bekommen. Aber die beiden hier sind echt hartnäckig. Ich füge mnal eben meinen Scan von Hijack This an: Logfile of HijackThis v1.98.1 Scan saved at 20:10:46, on 07.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe E:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe C:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe E:\Programme\Deamontool\daemon.exe C:\WINDOWS\system32\wintime.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Trillian\Trillian\trillian.exe C:\WINDOWS\BDIBV4\run.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\HijackThis1981.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - Global Startup: ImageFox.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O15 - Trusted Zone: .blazefind.com O15 - Trusted Zone: .clickspring.net O15 - Trusted Zone: .flingstone.com O15 - Trusted Zone: .mt-download.com O15 - Trusted Zone: .my-internet.info O15 - Trusted Zone: .searchbarcash.com O15 - Trusted Zone: .searchmiracle.com O15 - Trusted Zone: .skoobidoo.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129 O18 - Filter: text/html - (no CLSID) - (no file) O18 - Filter: text/plain - (no CLSID) - (no file) ... was soll ich davon fixen (löschen) damit ich diese Bastarde wieder runter bekomme. Es installiert sich auch ständig ne Software und danach geht der PC automatisch offline. Bitte helft mir...ich bin verzweifelt....und bitte kein PC-Latain, denn so bewandert bin ich auch nicht. Am Besten eine Schritt für Schritt - Anleitung für den dummen Alex. Vielen Dank im voraus

08.08.2004, 11:55 Sabina Ehrenmitglied Beiträge: 29434	#2 Hallo Alex78, Mache alles, wie beschrieben und wenn du was nicht verstehst...frage ! #Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #lade ClearProg und loesche http://www.clearprog.de/ -Cookies (mit Ausschlußmöglichkeit beim IE) - Verlauf - Temporäre Internetfiles (Cache)....wichtig !!!! fixe mit dem HijackThis (anhaken, was ich poste und dann auf <fix< druecken) und dann neustarten und in den abgesicherten Modus gehen R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank O4 - HKLM\..\Run: [Trickler] "c:\dokumente und einstellungen\alex\lokale einstellungen\temp\gain_trickler_3202.exe" O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O15 - Trusted Zone: .blazefind.com O15 - Trusted Zone: .clickspring.net O15 - Trusted Zone: .flingstone.com O15 - Trusted Zone: .mt-download.com O15 - Trusted Zone: .my-internet.info O15 - Trusted Zone: .searchbarcash.com O15 - Trusted Zone: .searchmiracle.com O15 - Trusted Zone: .skoobidoo.com O15 - Trusted Zone: *.slotch.com O16 - DPF: {B94B4225-E02E-4D3F-BADB-026F1E2F3AD7} (HttpDownloader Control) - http://www.instantplugin.com/SexDownloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.service-url.de/StarInstall.ocx O18 - Filter: text/html - (no CLSID) - (no file) O18 - Filter: text/plain - (no CLSID) - (no file) ist nicht <bad<, kannst du aber auch fixen: O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Treiber\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe neustarten #Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #Loesche alle Dateien (fuer alle Benutzer) c:\dokumente und einstellungen\alex\lokale einstellungen\temp\ #suche eine cdcover.zip und loesche (falls du sie findest) #Konfiguriere den Antivirus: <alle Dateien scannen< und Heuristik:hoch und mache einen Komplettscann. normal neustarten http://www.adwareaway.com/ (Remove about: blank-Hijacker -Tool laden) #Lade AdAware free und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Lade TuneUp 2004 (30 Tage free) und saeubere den Computer http://www.tuneup.de/download/ wichtig:Aufraeumen\Reparieren #lade mwav.exe und scanne <alle Dateien< und <alle Folder< http://www.mwti.net/antivirus/free_utilities.asp #Lade Cwshredder http://www.chip.de/downloads/c_downloads_11353799.html poste das Log noch mal. mfg Sabina Win32/Spy.Briss.G trojan # download and install cdcovers.zip b4 "Briss is an spyware (intrusive advertising software) made by BlazeFind. It is usually installed to computers without any warning or notification to users. The main component is a BHO (Browser Helper Object) that creates a search toolbar in Internet Explorer's interface. The spyware is capable or auto-updating itself. It reports information about users' hard drives and operating system version to its maker." __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 12:36 Uhr von Sabina editiert.

08.08.2004, 15:11 Alex78 ...neu hier Themenstarter Beiträge: 3	#3 ...So erstmal vielen vielen Dank....das war zwar ne stundenlange Aktion, aber sau gut erklärt und gründlich. Hier ist nochmal die neue Log von Hijack This: Logfile of HijackThis v1.98.1 Scan saved at 15:08:55, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe E:\Programme\Deamontool\daemon.exe C:\WINDOWS\system32\wintime.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Trillian\Trillian\trillian.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE E:\HijackThis1981.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe O4 - Global Startup: ImageFox.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129 schau mal bitte nach ob nun noch irgendwas im Eimer ist. Ich habe auch ein WINDOWSUpdate durchgeführt. Gibts sonst irgenwelche Sharewaretools die ich mir drauf machen um solche Schei... zu verhindern? Ist die Firewall die ich habe zu schlecht (Tiny Personal Firewall)? Ich hätte sonst noch Zone Alarm! Vielen lieben Dank....Alex

08.08.2004, 15:28 Sabina Ehrenmitglied Beiträge: 29434	#4 @Alex78 Es ist leider noch nicht alles in Ordnung Fixe O2 - BHO: (no name) - {FCADDC14-BD46-408A-9842-CDB57890086B} - C:\WINDOWS\syskey.dll O4 - HKLM\..\Run: [WinTime] C:\WINDOWS\system32\wintime.exe O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\win.exe neustarten #Lade dieses Tool http://www.diamondcs.com.au/index.php?page=apm Klicke alle Prozesse an und such die C:\WINDOWS\syskey.dll dann<unload< Dann scanne mit AdAware oder loesche die dll manuell. #loesche <C:\dl.html <C:\WINDOWS\win.exe <C:\system32\wintime.exe <C:\WINDOWS\syskey.dll (sieh auch, ob du noch einen Eintrag in der Registry dazu findest) Start<Ausfuehren<regedit oben links ist die Suchfunktion der Registry Gib ein :wintime.exe und auch win.exe normal neustarten #Mache noch einen Onlinescann http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php <<<<ich verwende Sygate als Firewall http://smb.sygate.com/products/spf_standard.htm http://scan.sygatetech.com/ Scanns durchfuehren: Sicherheitstipps: http://www.chip.de/forum/thread.html?bwthreadid=561773 #Dann poste das Log noch mal. mfg Sabina .......................................................................................................... http://vil.nai.com/vil/content/v_126205.htm Tip: Aendere alle Passwoerter...oder setze den Comp. neu auf, denn WinTime] C:\WINDOWS\system32\wintime.exe ist ein Keylogger. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 15:38 Uhr von Sabina editiert.

08.08.2004, 16:53 Alex78 ...neu hier Themenstarter Beiträge: 3	#5 @Sabina also ich habe die Datei syskey.dll nicht gefunden und die wintime.exe und win.exe in der regedit auch nicht gefunden...bei Hijack This habe ich aber die besagten Sachen gefixt. Hier nochmal die neue Log: Logfile of HijackThis v1.98.1 Scan saved at 16:50:28, on 08.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\RunDll32.exe E:\Programme\Deamontool\daemon.exe C:\Programme\ACD Systems\ImageFox\ImageFox.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\Programme\Tiny Personal Firewall\persfw.exe C:\WINDOWS\System32\svchost.exe E:\Programme\Trillian\Trillian\trillian.exe C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE E:\Virentools\HijackThis1981.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\programme\acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\Deamontool\daemon.exe" -lang 1033 O4 - Global Startup: ImageFox.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E686AC0D-74FD-479D-8989-16BBD864A18D}: NameServer = 217.237.151.225 194.25.2.129 ich bin ab gleich für 3 Wochen in Spanien und dann mich erst danach wieder drum kümmern....also net böse sein wenn ich auf weitere Anweisungen erstmal nicht antworten kann. Guck mal trotzdem bitte ob das jetzt alles ok ist. Vielen Dank Alex

08.08.2004, 17:37 Sabina Ehrenmitglied Beiträge: 29434	#6 Hallo Alex Nun ist das Log sauber. #Du musst den Antivirus unter <Optionen< so einstellen, dass der Guard aktiviert wird. Da erscheint dann ein "aufgespannter Regenschirm" auf der Taskleiste. Gruss vom Nachbar...aus Lissabon (hier regnet es ...nicht zu fassen....) Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.08.2004 um 17:40 Uhr von Sabina editiert.

14.09.2004, 11:59 Maltok ...neu hier Beiträge: 6	#7 Hallo! Ich habe ein ähnliches Problem. Nämlich "nur" den Spy.Briss.G. Das HijackThis Logfile sagt: Zitat Logfile of HijackThis v1.98.2 Scan saved at 11:27:13, on 14.09.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Wintab32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Cisco Systems\VPN Client\cvpnd.exe C:\WINDOWS\System32\inetsrv\inetinfo.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\RealVNC\WinVNC\WinVNC.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\System32\taskswitch.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\WINDOWS\Logi_MwX.Exe C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe C:\WINDOWS\System32\ZPOINT32.exe C:\Programme\WinExposé\wex.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Babylon\Babylon.exe C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE C:\Programme\EzButton System V2.1\EzButton.exe C:\Programme\GPGshell\GPGtray.exe C:\Programme\Stardock\ObjectDock\ObjectDock.exe C:\Programme\Crazy Browser\Crazy Browser.exe E:\Installationsprogramme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 134.28.41.1:3128 O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file) O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing) O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Acecad.Wtxpload] C:\WINDOWS\Acecad\Wtxpload.exe Acecad O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe O4 - HKLM\..\Run: [ZPOINT32] C:\WINDOWS\System32\ZPOINT32.exe O4 - HKLM\..\Run: [WinExpose] "C:\Programme\WinExposé\wex.exe" O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DesktopX] "C:\Programme\Stardock\Object Desktop\DesktopX\DesktopX.exe" O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe O4 - Startup: GPGtray.lnk = C:\Programme\GPGshell\GPGtray.exe O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll Ich hab schon mal auf der Webseite von HijackThis das Log File Auswerten lassen. Einige Prozesse, die Unbekannt sind, sind mir bekannte Programme. Der Eintrag Zitat R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.tu-harburg.de/cgi-bin/proxy-conf ist mir bekannt (Proxy Config an meiner Uni) Gleiches gilt für Zitat O4 - HKLM\..\Run: [WinExpose] "C:\Programme\WinExposé\wex.exe" Zitat O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe und Zitat O4 - Startup: GPGtray.lnk = C:\Programme\GPGshell\GPGtray.exe auch wenn die EzButton.exe "böse" zu sein scheint (die kann aber ruhig weg!) Frage: Kann ich mich jetzt blind auf das verlassen, was mir die Auswertung sagt, oder frage ich hier lieber noch mal nach? @Sabrina: Deine Anleitung scheint ja ziemlich detailiert, aber ich glaube, wenn ich die o.g. Anleitung Step by Step durchlaufe mache ich mehr kaputt als heile, oder? Also, was mache ich jetzt? Gruß, Maltok Dieser Beitrag wurde am 14.09.2004 um 13:14 Uhr von Maltok editiert.

14.09.2004, 12:59 Sabina Ehrenmitglied Beiträge: 29434	#8 Hallo @Maltok Fixe: O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing) O2 - BHO: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - (no file) O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing) O3 - Toolbar: IE Search Bar - {71ED4FBA-4024-4bbe-91DC-9704C93F453E} - c:\progra~1\iesearchbar\iesearchbar.dll O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge-c1.cab neustarten Lade : FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten (poste aber nichts ueber Domain-Name und aehnliches, loesche es aus dem Post. ......................................................................................................... #Leere folgende Ordner: C:\Dokumente und Einstellungen\Default User\Cookies\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\. #Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 13:10 Uhr von Sabina editiert.

14.09.2004, 13:24 Maltok ...neu hier Beiträge: 6	#9 Zitat Sabina postete(poste aber nichts ueber Domain-Name und aehnliches, loesche es aus dem Post. Was meinst du denn damit? Ich hab jetzt mal den Link weggenommen. Hast du das gemeint? Den Rest bearbeite ich jetzt gerade! Danke schon mal.... Ergebnisse folgen... Gruß, Maltok Dieser Beitrag wurde am 14.09.2004 um 13:25 Uhr von Maltok editiert.

14.09.2004, 13:34 Sabina Ehrenmitglied Beiträge: 29434	#10 Nein , ich meinte die persoenlichen PC-Daten, die<FindnFix:< angeben wird./ Mich interessiert nur, ob du einen Trojaner drauf hast. ausser <bridge< ...das weiss ich schon.... Lade : FindnFix: http://www10.brinkster.com/expl0iter/freeatlast/FNF/ 1. Entpacken 2. !LOG!.BAT anklicken 3. Log(log.txt) abkopieren und posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 13:36 Uhr von Sabina editiert.

14.09.2004, 13:37 Maltok ...neu hier Beiträge: 6	#11 Alles in Häppchen. Hier schon mal FINDnFIX Zitat FINDnFIX Tue 14 Sep 04 13:23:01 »»»»»»»»»»»»»»»»»»*LOG!(updated 9/1)»»»»»»»»»»»»»»»» System: Microsoft Windows XP Professional 5.1 Service Pack 2 (Build 2600) IE version: 6.0.2900.2180 SP2 MS-DOS Version 5.00.500 command.com test passed! __________________________________ !!Creating backups...!! (Backup already exist!) 13:23:01,30 14.09.2004 __________________________________ Local time: Dienstag, 14. September 2004 (14.09.2004) 13:23, Westeuropäische Sommerzeit Uptime: 13:23:02 up 0 days, 0:05:04 Path: C:\FINDnFIX ---------------------------------------------------- »»Member of...: ("ADMIN" logon + group match required!) [...] !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! User: [...], is a member of: [...] Running in WORKSTATION MODE. [...] »»»»»»»»»»»»»»»»»»* Note! »»»»»»»»»»»»»»»» The list will produce a small database of files that will match certain criteria. Ex: read only files, s/h files, last modified date. size, etc. The filters provided and registry scan should match the corresponding file(s) listed. »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Unless the file match the entire criteria, it should not be pointed to remove without attempting to confirm it's nature! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» At times there could be several (legit) files flagged, and/or duplicate culprit file(s)! If in doubt, always search the file(s) and properties according to criteria! The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder ______________________________________________________________________________ YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!* ______________________________________________________________________________ ......Scanning for file(s)... Note! The list(s) may include legitimate files! »»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»» (1) »»»»» ......... »»Read access error(s)... »»»»» (2) »»»»»........ »»»»» (3) »»»»»........ No matches found. unknown/hidden files... No matches found. »»»»» (4) »»»»»......... Sniffing.......... Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. SNiF 1.34 statistics Matching files : 0 Amount in bytes : 0 Directories searched : 1 Commands executed : 0 Masks sniffed for: .DLL »»»»»(5)»»»»» »»»»»(6)»»»»» »»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»»»»Search by size... List of files and specs according to 'size' : Note: Not all files listed here are infected, but may include the name and spces of the offending file... ___________________________________________________________________________ Path: C:\WINDOWS\SYSTEM32 Including: .DLL 713. Msasn1 Dll 57,344 . . . . A 8-04-04 12:57 am 750. Mshtmler Dll 57,344 . . . . A 8-04-04 12:55 am 238. Dmloader Dll 35,840 . . . . A 8-04-04 12:57 am 421. Imgutil Dll 35,840 . . . . A 8-04-04 12:57 am 271. Dpvacm Dll 21,504 . . . . A 8-04-04 12:57 am 329. Feclient Dll 21,504 . . . . A 8-04-04 12:57 am 362. Hidserv Dll 21,504 . . . . A 8-04-04 12:57 am ____________________________________________________________________________ By size and date... C:\WINDOWS\SYSTEM32\ msasn1.dll Wed 4 Aug 2004 0:57:26 A.... 57.344 56,00 K mshtmler.dll Wed 4 Aug 2004 0:55:32 A.... 57.344 56,00 K 2 items found: 2 files, 0 directories. Total of file sizes: 114.688 bytes 112,00 K C:\WINDOWS\SYSTEM32\ dmloader.dll Wed 4 Aug 2004 0:57:18 A.... 35.840 35,00 K imgutil.dll Wed 4 Aug 2004 0:57:22 A.... 35.840 35,00 K 2 items found: 2 files, 0 directories. Total of file sizes: 71.680 bytes 70,00 K C:\WINDOWS\SYSTEM32\ dpvacm.dll Wed 4 Aug 2004 0:57:18 A.... 21.504 21,00 K feclient.dll Wed 4 Aug 2004 0:57:20 A.... 21.504 21,00 K hidserv.dll Wed 4 Aug 2004 0:57:22 A.... 21.504 21,00 K 3 items found: 3 files, 0 directories. Total of file sizes: 64.512 bytes 63,00 K Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL SNiF 1.34 statistics Matching files : 2 Amount in bytes : 114688 Directories searched : 1 Commands executed : 0 Masks sniffed for: .DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL SNiF 1.34 statistics Matching files : 2 Amount in bytes : 71680 Directories searched : 1 Commands executed : 0 Masks sniffed for: .DLL Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15. Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL Sniffed -> C:\WINDOWS\SYSTEM32\HIDSERV.DLL SNiF 1.34 statistics Matching files : 3 Amount in bytes : 64512 Directories searched : 1 Commands executed : 0 Masks sniffed for: .DLL »»»»»»»»»»»»»»»»»»»»»»»»»»»»»» BHO search and other files... No matches found. "C:\WINDOWS\system32\" rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll" 1 item found: 1 file, 0 directories. Total of file sizes: 31.744 bytes 31,00 K --sp.html in temp folder was NOT FOUND!-- Filter keys search... REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2) --(text/html Subkey was NOT FOUND!)-- REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2) --(text/plain Subkey was NOT FOUND!)-- »»»»»»»»»»»»»»»»»»»»»»»»»»»»»» »»Size of Windows key: (Default-450 No AppInit-398 fake(infected)-448,504,512...) Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450 »»Checking for AppInit_DLLs (empty) value... ________________________________ !"AppInit_DLLs"=""! Value Matches ________________________________ »»Comparing saved key with original... REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com) Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows). No differences found. »»Dumping Values........ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows AppInit_DLLs = DeviceNotSelectedTimeout = 15 GDIProcessHandleQuota = REG_DWORD 0x00002710 Spooler = yes swapdisk = TransmissionRetryTimeout = 90 USERProcessHandleQuota = REG_DWORD 0x00002710 »»Security settings for 'Windows' key: RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de) This program is Freeware, use it on your own risk! Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: (NI) ALLOW Read VORDEFINIERT\Benutzer (IO) ALLOW Read VORDEFINIERT\Benutzer (NI) ALLOW Read VORDEFINIERT\Hauptbenutzer (IO) ALLOW Read VORDEFINIERT\Hauptbenutzer (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access VORDEFINIERT\Administratoren (NI) ALLOW Full access NT-AUTORIT´T\SYSTEM (IO) ALLOW Full access NT-AUTORIT´T\SYSTEM (NI) ALLOW Full access VORDEFINIERT\Administratoren (IO) ALLOW Full access ERSTELLER-BESITZER Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows: Read VORDEFINIERT\Benutzer Read VORDEFINIERT\Hauptbenutzer Full access VORDEFINIERT\Administratoren Full access NT-AUTORIT´T\SYSTEM »»Performing string scan.... 00001150: ? 00001190: vk f AppInit_ 000011D0LLs G vk UDeviceNotSelectedTimeout 00001210: 1 5 _ 9 0 x, vk ' zGDIProce 00001250:ssHandleQuota" vk Spooler2 y e s h 00001290: 0 ` vk =pswapdisk vk 000012D0: R TransmissionRetryTimeout 0 ` 00001310: vk ' D USERProcessHandleQuotas 00001350: 00001390: 000013D0: 00001410: 00001450: 00001490: 000014D0: 00001510: 00001550: 00001590: 000015D0: ---------- WIN.TXT fùAppInit_DLLsÖæG -------------- -------------- $011C8: AppInit_DLLs $011F7: UDeviceNotSelectedTimeout $01247: zGDIProcessHandleQuota $012E0: TransmissionRetryTimeout $01330: USERProcessHandleQuotas -------------- -------------- No strings found. -------------- -------------- REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" "DeviceNotSelectedTimeout"="15" "GDIProcessHandleQuota"=dword:00002710 "Spooler"="yes" "swapdisk"="" "TransmissionRetryTimeout"="90" "USERProcessHandleQuota"=dword:00002710 ............. ............. A handle was successfully obtained for the HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key. This key has 0 subkeys. The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination. [AppInitDLLs] Ansi string : "" 0000 00 00 \| .. ----------------------- »»»»»»Backups list...»»»»»» 13:29:21 up 0 days, 0:11:23 ----------------------- Tue 14 Sep 04 13:29:21 C:\FINDNFIX\ keyback.hiv Tue 14 Sep 2004 13:12:02 A.... 8.192 8,00 K 1 item found: 1 file, 0 directories. Total of file sizes: 8.192 bytes 8,00 K C:\FINDNFIX\KEYS1\ winkey.reg Tue 14 Sep 2004 13:12:04 A.... 287 0,28 K 1 item found: 1 file, 0 directories. Total of file sizes: 287 bytes 0,28 K Temp backups... "C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temp\Backs2\" keyback2.hi_ 14 Sep 2004 8192 "keyback2.hi_" winkey2.re_ 14 Sep 2004 287 "winkey2.re_" 2 items found: 2 files, 0 directories. Total of file sizes: 8.479 bytes 8,28 K -D---- JUNKXXX 00000000 13:12.02 14/09/2004 A----- STARTIT .BAT 00000060 13:23.02 14/09/2004 ________________________________________________________________________________ THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)' AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS! MINIMAL REQUIREMENTS INCLUDE: _________XP HOME/PRO; SP1; IE6/SP1 _________2K/SP4; IE6/SP1 ________________________________________________________________________________ »»»»»* www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»» -----END------ Tue 14 Sep 04 13:29:23 ... und weiter gehts ... Gruß, Maltok

14.09.2004, 13:40 Sabina Ehrenmitglied Beiträge: 29434	#12 1.Fixe, was ich gepostet habe, dann booten und dann: 2.LEERE folgende Ordnerbevor du den "eScan" laedst) C:\Dokumente und Einstellungen\Default User\Cookies\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\. C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\. 3.Lade den "eScan" erstelle vorher eine C:\base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% oder in der C:\base Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 14:08 Uhr von Sabina editiert.

14.09.2004, 15:55 Maltok ...neu hier Beiträge: 6	#13 ähmmm... also ich scanne bereits seit 1h 47min (193.000 Files bis jetzt) und bin mitten auf der 2. von 3 Partitionen. Das wird wohl noch ne gute Stunde dauern, bis das Scannen im Abgesicherten Modus abgeschlossen ist. Erklär mir doch noch mal ganz kurz, warum ich dem Scan im Abgesicherten Modus nicht trauen kann und noch mal voraussichtlich 4 Stunden in einen Scan investieren soll, der im Normalmodus stattfindet. Irgendwann muss ich an dem Rechner auch noch mal weiter arbeiten... Also: Wo liegt der Unterschied zwischen scannen im Abgesicherten und scannen im Normalen Modus? Gruß, Maltok

14.09.2004, 17:21 aelfric2 Member Beiträge: 48	#14 Der Scan ist im normalen Modus wahrscheinlich schneller fertig, meines Erachtens aber eigentlich unnötig, weil E-Scan da eigentlich nichts finden kann, was es vorher nicht auch schon gefunden haben müsste, es sind ja keine neuen Dateien dazugekommen?

14.09.2004, 17:50 Sabina Ehrenmitglied Beiträge: 29434	#15 @Maltok Da hast du und der Scanner A) <Administratorenrechte<,und B) kann Dateien\Viren\Malware\Trojaner\Backdoors loeschen, die im abgesicherten Modus nicht verwendet werden . Im Normalmodus waere das nicht moeglich, da der z.B Trojaner aktiv ist. Natuerlich wuerde ein Scann reichen.....aber: Eigenartigerweise habe ich festgestellt, dass beim nochmaligen Scannen, vormals umbenannte Dateien geloescht wurden. Doppelt haelt besser. Aber wenn du keine Zeit hast, dann mach es nachts und poste morgen das Ergebnis. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.09.2004 um 17:57 Uhr von Sabina editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2 3 4