Win32.Propo!downloader |
|
---|---|
04.07.2005, 11:21
...neu hier
Beiträge: 4 |
|
|
|
04.07.2005, 14:32
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@
HijackThis http://virus-protect.org/hjtkurz.html Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> oder: Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
05.07.2005, 12:03
...neu hier
Themenstarter Beiträge: 4 |
#3
Logfile of HijackThis v1.99.1
Scan saved at 12:02:05, on 05.07.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe C:\Programme\Winamp\Winampa.exe D:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe D:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe C:\WINDOWS\system32\sig6mon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\shipro32.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe C:\WINDOWS\System32\nvsvc32.exe d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe D:\NETSCAPE\NETSCAPE\NETSCP.EXE C:\Programme\Aprps\CxtPls.exe D:\hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/ O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\Aprps\cxtpls.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [b657hj0e] C:\WINDOWS\System32\b657hj0e.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [CaAvTray] "d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe" O4 - HKLM\..\Run: [CAVRID] "d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe" O4 - HKLM\..\Run: [w74P3nV] sig6mon.exe O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [hwvFRhZ8R] shipro32.exe O4 - HKCU\..\Run: [Mozilla Quick Launch] "D:\Netscape\Netscape\Netscp.exe" -turbo O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1117573675540 O23 - Service: CAISafe - Computer Associates International, Inc. - d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - d:\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe |
|
|
05.07.2005, 15:48
Member
Beiträge: 4730 |
#4
Untersuchen:
winpadg.exe (danach suchen, sollte sich aber im System32-Ordner befinden) C:\WINDOWS\system32\shipro32.exe C:\WINDOWS\System32\b657hj0e.exe sig6mon.exe (danach suchen) bei http://www.virustotal.com hochladen und überprüfen lassen. Aber ich schätze, diese Dateien sind alles Viren-Dateien und Dein System muss gründlich gesäubert - oder formatiert werden. Böse und sollte gefixt werden: C:\Programme\Aprps\CxtPls.exe O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\Aprps\cxtpls.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab __________ Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren. Der Grabsteinschubser |
|
|
05.07.2005, 18:21
Ehrenmitglied
Beiträge: 29434 |
#5
Start -- Ausfuehren -- schreib rein: cmd
kopiere rein: sc stop hwclock klicke "enter" und warte ein bisschen, dann kopiere rein: sc delete hwclock klicke "enter" kopiere rein: del C:\WINDOWS\System32\hwclock.exe Klicke "enter Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_HWCLOCK] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\hwclock] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_HWCLOCK] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\hwclock] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock] #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Windows Desktop Daemon] winpadg.exe O4 - HKLM\..\Run: [b657hj0e] C:\WINDOWS\System32\b657hj0e.exe O4 - HKLM\..\Run: [w74P3nV] sig6mon.exe O4 - HKLM\..\RunServices: [Windows Desktop Daemon] winpadg.exe O4 - HKCU\..\Run: [hwvFRhZ8R] shipro32.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/Bridge-c139.cab O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) neustarten Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken. und sofort wieder neustarten alle diese Dateien loeschen C:\WINDOWS\System32\hwclock.exe winpadg.exe C:\WINDOWS\system32\shipro32.exe C:\WINDOWS\system32\sig6mon.exe C:\WINDOWS\System32\b657hj0e.exe Start -- Ausführen -- cmd -- kopiere nur die Einträge der letzten 40 Tage aus dem sich öffnenden Editor raus einzeln in das schwarze DOS-Fenster reinkopierendann öffnet sich der Editor) cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit du wirst TFTP..... Dateien finden (C:\Windows\System32 ) loesche sie alle Beispiel: 18.06.2005 16:04 0 TFTP2580 18.06.2005 01:29 0 TFTP3844 14.06.2005 13:07 0 TFTP3884 13.06.2005 21:15 0 TFTP868 http://virus-protect.org/Artikel/dienste/hwclock.html und Onlinescans machen (dann alles manuell loeschen, was nicht deinfiziert wird http://virus-protect.org/onlinescan.html ich kann den Thread dann leider nicht weiter begleiten...gehe in Ferien. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
05.07.2005, 19:07
...neu hier
Themenstarter Beiträge: 4 |
#6
Danke für eure hilfe. Ich hatte das system neu aufgesetzt und noch bevor ich die servicepacks installiert hatte hatte ich die die vieren auf meinem rechner!!! Leder habe ich momentan nicht die Zeit das System gleich nochmals aufzusetzen. Hoffe das ich das problem mit euerer hilfestellung wieder in den griff bekomme. Vielen Dank dafür.
Der von mir benutzte E-Trust Antivierus scheint laut Virustotal meine vieren nicht zu finden, kann mir jemand einj günstiges aber gutes antivierensystem empfehlen? Mit besten dank Frank |
|
|
05.07.2005, 20:34
Ehrenmitglied
Beiträge: 29434 |
#7
http://virus-protect.org/antivirenfree.html
http://virus-protect.org/antivirenshareware.html Was tun nach Neuinstallation XP/Win2000 + Sicherheitsmassnahmen http://virus-protect.org/nachneuinst.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
05.12.2005, 12:35
Member
Beiträge: 11 |
#8
Hoy zämmä
Ich greife diesen alten thrend wieder auf, da dieser WIN32 Propo mein System befahlen hat. Arbeite genau gleich wie mein vor Redner "ffox" mit eTrust (Ver: 7.1.194) wo ich sagen muss. bin von dem begeistert. jedoch seit einigen wocher verweigert er mir das Update zu holen. obwol ich die "Client" Version hab. ich hab da mal die Hijacks Log. es ist mir ein Retzel wieso diese Virus immer wieder kommt. aufelig ist dabei, das es Regelmässig durch Opera-Browoser ausgelöst wird. (C:\Dokumente und Einstellungen\Seven24\Anwendungsdaten\Opera\Opera\profile\cache4) dieser wird vom mir Regelmässig gelert. noch irentierenter ist, das wen ich ein Scen mit "Adaware" dürchführe. Virus auch ausgelöst wird. Zitat Logfile of HijackThis v1.99.1wen Virus Aktiv: sind semtliche Aplikationen nicht mer aufrufbar. Arbeitsplatz "Diese Schaltfleche exestiert nicht mer da sie gelöscht wurde" Start/Programe "Leer" Opera, verweigert das Speichern von "Favoriten" nur geöfnete Aplikationen gehen noch teilweise. nach Neustart, ist alles wieder IO.. für eine kurtze Zeit. so nun mal einige angaben zu meinem System: Win XP Pro, SP2, inkl alle notwendigen Hotfix und Patch Virus: eTrust vo CA Spayware: Ad-Aware SE Personal, Spybot Search & Destroy Firewal: Sygate Personal Firewall Platiniun zusetztlich noch eine Hardware Firewall. so hof ihr könt mir Helfen. MfG K-Tierli __________ "Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll" Wer etwas will sucht Wege, wer etwas nicht will findet Gründe. |
|
|
05.12.2005, 12:40
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo K-Tierli
ich kann im Log nichts sehen, also muessen wir tiefer graben kopiere hier die 4 Textdateien http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
05.12.2005, 13:05
Member
Beiträge: 11 |
#10
@Sabina
Zitat Datentr„ger in Laufwerk C: ist Bootkan leider bis MI abend nicht mer hier rein. bin im kurtzUrlaub :-) __________ "Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll" Wer etwas will sucht Wege, wer etwas nicht will findet Gründe. Dieser Beitrag wurde am 05.12.2005 um 13:09 Uhr von K-Tierli editiert.
|
|
|
05.12.2005, 13:59
Ehrenmitglied
Beiträge: 29434 |
#11
Hallo K-Tierli
Log Dich mit Deiner E-Mail Adresse bei Malwareupload http://www.malwareupload.com/ ein und lade die suspekte Datei hoch. Du wirst so schnell wie möglich per E-Mail darüber informiert, ob die Datei wirklich schädlich ist und um welchen Schädling es sich handelt. C:\WINDOWS\system32\ceutil.dll C:\WINDOWS\system32\rapi.dll C:\WINDOWS\pvYvM Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
08.12.2005, 18:40
Member
Beiträge: 11 |
#12
@Sabina
Mercy, hab mal die Dateien hochgeladen und warte auf Antwort. sobal ich diese hab, werde ich dies hier posten. bis dan.. Tea Trinken und abwarten. __________ "Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll" Wer etwas will sucht Wege, wer etwas nicht will findet Gründe. |
|
|
08.12.2005, 19:23
Ehrenmitglied
Beiträge: 29434 |
#13
K-Tierli
das sieht nach einem Wareout aus, irgendwie sagt mir das mein kleiner Finger..... WinPfind (poste das Log) http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
08.12.2005, 21:22
Member
Beiträge: 11 |
#14
so erstes Teilergebnis ist eingetroffen:
Zitat Hallo,was ist ein "Wareout" ??? __________ "Der Wissende weiss und erkundigt sich, aber der Unwissende weiss nicht einmal, wonach er sich erkundigen soll" Wer etwas will sucht Wege, wer etwas nicht will findet Gründe. |
|
|
09.12.2005, 10:55
Ehrenmitglied
Beiträge: 29434 |
#15
es wird Apropos, nicht der Wareout sein....., sauber ist der PC auf keinen Fall....mache folgendes:
Download f-secure-Beta Trial http://www.f-secure.com/blacklight/ doppelklick: blbeta.exe nach dem Check klicke -- next nun findet man eine Textdatei auf dem Desktop: kopiere sie in deinen Thread WinPfind (poste das Log) http://virus-protect.org/winpfind.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
Ist das problem jemanden bekannt, und wenn wie kann ich dem vermeindlichen wurm den gar ausmachen???
Frank