HAbe mir Alcra.B gefangen, -und bin überfordert |
|
---|---|
20.08.2005, 08:53
Member
Beiträge: 13 |
|
|
|
20.08.2005, 09:05
Member
Beiträge: 291 |
#2
Könntest du bitte ein volständiges HijackThis Log erstellen?
http://80.237.140.193/downloads/hijackthis_199.zip http://board.protecus.de/t9391.htm |
|
|
20.08.2005, 09:50
Member
Themenstarter Beiträge: 13 |
#3
Jo, hoffe das wars wqas du gemeint hast!
Scan saved at 09:47:00, on 20.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe D:\Programme\anti VIR\AVGUARD.EXE D:\Programme\anti VIR\AVWUPSRV.EXE C:\WINDOWS\System32\cisvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\DeltTray.exe D:\Programme\anti VIR\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\Programme\Player\Winamp\winampa.exe C:\Programme\Java\jre1.5.0_04\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Program Files\Media Gateway\MediaGateway.exe C:\programme\180searchassistant\salm.exe C:\Programme\winupdates\winupdates.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\cidaemon.exe D:\Documents And Settings\LimeWire\LimeWire.exe D:\Programme\Firefox\firefox.exe D:\Programme\Office\Win Rar\WinRAR.exe D:\Programme\Security\HijackThis.exe C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O1 - Hosts: 213.159.117.235 auto.search.msn.com O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180searchassistant\salmhook.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [DeltTray] DeltTray.exe O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\anti VIR\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Player\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://D:\PROGRA~1\Office\1031\phdintl.dll/phdContext.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OFFICE~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://start.online-dialer.com/MaConnect.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FCF6F0F3-675B-4A58-AC8E-E34182A14875}: NameServer = 217.237.149.161 217.237.150.97 O18 - Filter: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msvsres.dll O18 - Filter: text/plain - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\WINDOWS\System32\msvsres.dll O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing) (HKLM) O20 - AppInit_DLLs: cpan.dll O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\anti VIR\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\anti VIR\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Danke schonmal für deine bemühungen, wenn ich das sehe! |
|
|
20.08.2005, 11:55
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Tobi79
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://aifind.info/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://aifind.info/ O1 - Hosts: 213.159.117.235 auto.search.msn.com O1 - Hosts: 213.159.117.235 auto.search.msn.com O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - c:\programme\180searchassistant\salmhook.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto O4 - HKLM\..\Run: [Media Gateway] C:\Program Files\Media Gateway\MediaGateway.exe O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - http://start.online-dialer.com/MaConnect.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c420.cab O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) - http://www.180searchassistant.com/180saax.cab O19 - User stylesheet: C:\WINDOWS\hh.htt (file missing) (HKLM) O20 - AppInit_DLLs: cpan.dll PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken C:\WINDOWS\hh.htt c:\programme\180searchassistant\salmhook.dll C:\programme\180searchassistant\salm.exe c:\programme\180searchassistant C:\Programme\winupdates\winupdates.exe C:\Programme\winupdates C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" PC neustarten deinstallieren: Media Gateway Zitat A new Windupdates adware variantloeschen/ C:\Programme\MyWay\myBar c:\programme\180searchassistant C:\Programme\winupdates C:\Program Files\Media Gateway CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Microsoft Windows Antispy http://virus-protect.org/ms.html ewido (poste dasLog vom Scan) http://virus-protect.org/ewido.html •Ad-aware SE Personal http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen -------------------------------------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
20.08.2005, 12:08
Member
Themenstarter Beiträge: 13 |
#5
Thanx Sabrina!!
Deine Anleitung scheint ja Idoit zu sein, .... nicht lachen, aber wie gehe ich in den abgesicherten Modus?? *schähm* |
|
|
20.08.2005, 12:10
Ehrenmitglied
Beiträge: 29434 |
#6
Zitat Tobi79 postetedas Idoit haettest du dir sparen koennen... *gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml F8 druecken, wenn der PC hochfaehrt und sich als Administrator anmelden __________ MfG Sabina rund um die PC-Sicherheit |
|
|
20.08.2005, 12:31
Member
Themenstarter Beiträge: 13 |
#7
.... meinte auch "Idoit", war auf meine Unfähigkeit bezogen!
Sorry! |
|
|
20.08.2005, 12:55
Ehrenmitglied
Beiträge: 29434 |
|
|
|
20.08.2005, 13:27
Member
Themenstarter Beiträge: 13 |
#9
So bis zum CCleaner bin ich durch!
Aber wie sieht das denn mit dem Antispy- Programm aus? Kann ich das denn so einfach machen, ohne das Mr. Gates mitbekommt, dass ich da lauter Programme auf dem Rechner habe die ich eigentlich gar nicht haben dürfte? ... Kostet das? Ewido muss ich machen, ist klar! Und was ist mit der Ad-aware? |
|
|
20.08.2005, 13:32
Ehrenmitglied
Beiträge: 29434 |
#10
er wird es nicht mitbekommen, du kannst es bedenkenlos laden (ueberdenke aber mal, ob du nicht besser alles korrekt/ legal auf deinem PC installiert bekommst, dann wirst du auch nie probleme haben und ueberfordert sein, wie du schriebst.
die 70 Euro fuer eine legale XP-Home-Version wirst du doch bestimmt haben.... Dann vermeide suspekt Progs zu laden...dann bleibt der PC auch sauber AdAware SE ist free und ewido 15 Tage free __________ MfG Sabina rund um die PC-Sicherheit |
|
|
20.08.2005, 13:47
Member
Themenstarter Beiträge: 13 |
#11
Windows ist sogar orginal (zwar geliehen aber immer hin!)
Aber die Probleme nehmen trotzdem kein Ende, ich kannden Vorgang nicht zu Ende führen, statt dessen geht ein Fenster auf das mir sagt: mshta.exe - Abbild fehlerhaft Die Anwendung oder dll C:\Windows\systhem32 msvsrers.dll ist keine gülltige Windows Datei. Und weiterhin das ich dies mit der Startdikette(die ich nicht habe) Überprüfen soll! Ich hoffe ich nerv dich nicht zu sehr! |
|
|
20.08.2005, 14:07
Ehrenmitglied
Beiträge: 29434 |
|
|
|
20.08.2005, 16:51
Member
Themenstarter Beiträge: 13 |
#13
So da bin ich wieder!
Schon mal im voraus many many thanx to Sabina, for geduld und so! Hier ist jetzt noch der letzte Scan von ewido... ewido security suite - Scan Report --------------------------------------------------------- + Erstellt am: 16:39:52, 20.08.2005 + Report-Checksumme: 370876A8 + Scanergebnis: HKLM\SOFTWARE\Classes\CLSID\{014DA6C9-189F-421a-88CD-07CFE51CFF10} -> Spyware.MySearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -> Spyware.MyWay : Gesäubert mit Backup HKLM\SOFTWARE\Classes\CLSID\{53B95211-7D77-11D2-9F80-00104B107C96} -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\TypeLib\{53B95204-7D77-11D2-9F80-00104B107C96} -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\CLSID -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\Classes\Xmlmimefilter.XMLMimeFilterPP\CurVer -> Spyware.CoolWebSearch : Gesäubert mit Backup HKLM\SOFTWARE\PerfectNav -> Spyware.KeenValue : Gesäubert mit Backup :mozilla.16:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.17:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.21:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup :mozilla.22:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Tribalfusion : Gesäubert mit Backup :mozilla.28:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup :mozilla.30:C:\Dokumente und Einstellungen\Tobias Kroczek\Anwendungsdaten\Mozilla\Firefox\Profiles\iqy1vbkv.default\cookies.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup :mozilla.31:C:\Dokumente und Einstellungen\Tobias C:\Dokumente und Einstellungen\Tobias Kroczek\Lokale Einstellungen\Temp\res46.tmp -> Spyware.180Solutions : Gesäubert mit Backup C:\Programme\winupdates\a.zip/Setup.exe -> Worm.VB.an : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\MY2NS.EXE -> Spyware.MyWay : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\MYWAYPLUGINPROXY.CLASS -> Spyware.MyWay : Gesäubert mit Backup C:\RECYCLER\S-1-5-21-1123561945-813497703-854245398-1004\Dc1\1.bin\NPMYWAY.DLL -> Spyware.MyWay : Gesäubert mit Backup C:\WINDOWS\base64.tmp -> Worm.Netsky.Q : Gesäubert mit Backup D:\Programme\anti VIR\INFECTED\A.TMP.VIR -> Worm.VB.an : Gesäubert mit Backup D:\Programme\Security\backups\backup-20050820-123420-458.dll -> Spyware.180Solutions : Gesäubert mit Backup ::Report Ende ... war ganz schön was los würd ich sagen! Und nochmal vielen vielen Dank! |
|
|
20.08.2005, 21:51
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo@Tobi79
der ewido hat alles in den Backup "verstaut"...also diese bitte nie mehr zurueckspielen...am besten loeschen •Ad-aware SE Personal http://virus-protect.org/antispywaretools.html Laden--> Updaten-->Konfigurieren http://virus-protect.org/adaware.html #VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! scannen-->PC neustarten--> noch mal scannen-->poste den Report vom Scan #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein + das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
21.08.2005, 10:19
Member
Themenstarter Beiträge: 13 |
#15
Wie wende ich denn das Language pack an? Ich versuch die ganze Zeit zu updaten, aber er macht das nicht so wirklich,vielleicht komm ich da in Deutsch ein bißchen weiter!
|
|
|
Ich habe mir gestern (zwei Tage nach DSL Einrichtung) wohl den Wurm Alcr.B gefangen! AntiVir sagt mir jetzt alle 5 min. das die Datei winupdates die Signatur des Wurmes enthällt.
Was kann ich da machen???
Habe mein xp und AntiVir dierekt upgedatet, falls ihr sonst noch was braucht schreibt einfach!
Wäre echt nett wenn mir da jemand helfen könnte, da ich weiß Gott kein Experte bin!
Vielen Dank schonmal!!!