lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » Lösung

Thema ist geschlossen!
Thema ist geschlossen!
22.06.2004, 19:31
...neu hier

Beiträge: 3
#106 Hi sabine, ich danke dir für die vielen tipps also ich hoffe das alles geklappt hat und hier zeig ich dir nun meine akuteulle hijackthis.log :

Logfile of HijackThis v1.97.7
Scan saved at 19:29:52, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\STOPzilla!\Stopzilla.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Ingelein\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: updater.lnk = C:\Programme\Common Files\updater\wupdater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/051989edd95fa643c906/netzip/RdxIE601_de.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.6595601852
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.de/resources/neutral/controls/MsnPUpld.cab?9,0,917,0
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21A39FAC-9324-470D-BEFC-A998C60A070A}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21A39FAC-9324-470D-BEFC-A998C60A070A}: NameServer = 217.237.150.33 194.25.2.129
Seitenanfang Seitenende
23.06.2004, 10:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#107 @dan 86
Gute Arbeit.....

Fixe bitte noch
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O4 - Global Startup: updater.lnk = C:\Programme\Common Files\updater\wupdater.exe

und lade einen Antivir. da du ja den Symantec deinstalliert hat
http://www.free-av.de/
beim Antivir. stelle unter Optionen ein...\alle Dateien scannen\ und mache immer die Updates

Dann lade noch a2
http://www.emsisoft.de/de/software/free/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.06.2004 um 23:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.06.2004, 10:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#108 @elias koegel

Lade das HijackThis, scanne, save und kopiere das Log ins Forum
http://board.protecus.de/t9391.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.06.2004, 19:13
...neu hier

Beiträge: 2
#109

Zitat

Dafra postete
Achtung! lsass.exe / avserve.exe Problem -> Virus: W32/Sasser.a

Problem:
viele user beklagen sich ->
- das ihr Pc herunter fährt, sobald sie ins Internet gehen
- das die lsass.exe bzw. Isass.exe abgestürzt ist

Grund / Lösung
Der Grund dafür ist, dass der Virus / Wurm Sasser sich über eine Sicherheitslücke im Betriebsystem Windows verbreitet. Der Wurm kann mit folgendem Removal Tool entfernt werden.

Um die Sicherheitslücke zu stopfen, ist es nötig den neusten Patch von Microsoft zu installieren:

Windows 2000 Patch
Windows XP Patch

generell empfehlenswert: (Windowsupdate)

Wenn oder bevor man den Patch einspielen kann ein Fenster kommt, wie:



dann bitte die Eingabeaufforderung öffnen: (Start -> Ausführen )
und dort im Eingabefenster: shutdown -a eingeben! (deaktiviert das herunterfahren)

Den Wurm Sasser wird von eigentlich jedem gängigen Antivirenprogramm erkannt und kann einfach entfernt werden. Wer kein Anti -Vir hat, kann sich hier ein relativ gutes kostenlos runter laden. Hier gehts zum AV - ansonsten bitte neue Signaturen downloaden.

- Symantec Sasser Removal Tool oder
- zur manuellen Virus Entfernung

Man sollte auch, wenn man keine Firewall hat die Windows integrierte Firewall aktivieren: http://www.microsoft.com/germany/ms/security/windowsxp.mspx

mehr Infos:
Wurm Sasser dringt über Windows-Sicherheitslücke ein
Microsoft Infos zum Sasser Wurm
Sasser.klaffke.de Virus manuell entfernen
Symantec Tutorital W32.Sasser.Worm
McAfee Tutorital W32/Sasser.worm
Trendmicro Sasser Entfernung
Microsoft Security Bulletin MS04-011
Sasser Virus Info (heise.de)
Sasser Programmierer gefasst

MFG
DAFRA
Hallo Dafra,
ich habe bei einem Freund das selbe Problem mit sassern und so gehabt. Durch zufall bin ich bei Google auf eure Seite gekommen. Ich habe Schritt für Schritt deine Anweisungen beachtet und auch das Tool von Microschrott gelouded und ausgeführt. Das hat prima hingehauen und habe noch einem Kollegen damit geholfen, dessen PC auch verseucht war.
Guter Tipp!

MfG Ulli
Dieser Beitrag wurde am 25.06.2004 um 19:20 Uhr von Ulli editiert.
Seitenanfang Seitenende
23.08.2004, 13:14
Member

Beiträge: 19
#110 ich hab mir wohl auch eine art des sasser eingefangen, bin zwar nicht wirklich sicher, welche genau aber ich hab auch mal den hijacker drübergejagt kann damit allerdings nicht so viel anfangen... wäre nett, wenn jemand antwortet!

Logfile of HijackThis v1.98.2
Scan saved at 13:08:18, on 23.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
F:\WINNT\System32\smss.exe
F:\WINNT\system32\winlogon.exe
F:\WINNT\system32\services.exe
F:\WINNT\system32\lsass.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\system32\spoolsv.exe
F:\WINNT\System32\svchost.exe
F:\WINNT\System32\nvsvc32.exe
F:\WINNT\system32\regsvc.exe
F:\WINNT\system32\MSTask.exe
F:\WINNT\System32\tcpsvcs.exe
F:\WINNT\system32\stisvc.exe
F:\WINNT\System32\WBEM\WinMgmt.exe
F:\WINNT\system32\svchost.exe
F:\WINNT\Explorer.EXE
F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
G:\WhatPulse.exe
F:\PROGRA~1\FASTDE~1\FAST2.EXE
C:\uptime-project\client.exe
F:\WINNT\system32\rundll32.exe
F:\Programme\Gemeinsame Dateien\GMT\GMT.exe
F:\WINNT\system32\taskmgr.exe
C:\Programme\WinRAR.exe
F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://users.pandora.be/topsite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite
O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - F:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O2 - BHO: SearchSquire3 - {907CA0E5-CE84-11D6-9508-02608CDD2846} - F:\WINNT\System32\SEARCH~1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [CMESys] "F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [WhatPulse] G:\WhatPulse.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [FAST Defrag] F:\PROGRA~1\FASTDE~1\FAST2.EXE -tray
O4 - HKCU\..\Run: [Uptime-Project] C:\uptime-project\client.exe
O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALLP.EXE
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm
O15 - Trusted Zone: http://ad.searchsquire.com
O15 - Trusted Zone: http://search.searchsquire.com
O15 - Trusted Zone: http://update.searchsquire.com
O15 - Trusted Zone: http://www.searchsquire.com
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab
O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {907CA0E5-CE84-11D6-9508-02608CDD2846} (Squire Class) - http://update.searchsquire.com/SearchSquire33.CAB
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
Seitenanfang Seitenende
23.08.2004, 13:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#111 @DonDöna

Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
fixe mit dem HijackThis, was ich poste , dann starte sofort neu

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://users.pandora.be/topsite
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite
O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - F:\PROGRA~1\Lycos\IEagent\CSIE.DLL
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)
O2 - BHO: SearchSquire3 - {907CA0E5-CE84-11D6-9508-02608CDD2846} - F:\WINNT\System32\SEARCH~1.DLL
C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing)

O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart
O4 - HKLM\..\Run: [CMESys] "F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALL
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll

Wenn 'http://search.searchsquire.com ' nicht wissentlich zu Ihren 'Vertrauenswürdigen Seiten' gehört, bitte fixen.
O15 - Trusted Zone: http://ad.searchsquire.com
O15 - Trusted Zone: http://search.searchsquire.com
O15 - Trusted Zone: http://update.searchsquire.com
O15 - Trusted Zone: http://www.searchsquire.com
O16 - DPF: {907CA0E5-CE84-11D6-9508-02608CDD2846} (Squire Class) - http://update.searchsquire.com/SearchSquire33.CAB

neustarten

------------------------------------------------------------------------------
Loesche;)Gator Spyware Component)

Gehe in die Registry
Start<Ausfuehren<regedit
loesche diesen Eintrag, falls er existiert:
HKEY_CLASSES_ROOT\CLSID\{21FFB6C0-0DA1-11D5-A9D5-
00500413153C}
HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run CMESys = ""%Program Files%\Common Files\CMEII\CMESys.exe""
schliesse die Registry

neustarten

Loesche:
fsg_4201a.exe oder fsg_4201y.exe
F:\Programme\Gemeinsame Dateien\GMT\GMT.exe
FSG.EXE
F:\Programme\Gemeinsame Dateien\CMEII
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=SPYW_GATOR.B&VSect=T


#Lade eScan (entpacke in C:\ base )
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm
#suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.
...................................................................................................
#Lade Spybot
http://www.safer-networking.org/de/download/index.html
#Lade AdAware free
http://www.lavasoft.de/support/download/

#Dann poste bitte, was der <eScan< gefunden hat.(Virenlog)....am Besten , du machst noch mal einen Scann im Normalmodus....

mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.08.2004 um 14:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.08.2004, 14:17
Member

Beiträge: 19
#112 vielleicht habe ich vergessen zu erwähnen, dass ich win2k nutze... nicht xp... bin noch von der alten sorte... ;)
Seitenanfang Seitenende
23.08.2004, 14:45
Member

Beiträge: 1095
#113 @DonDöna

Das hier muß man nicht fixen

O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart
O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALL

Ist ein DesktopHintergrundBild Programm
http://rapidascentsoftware.com/Products/DesktopRandomizer/

Wenn schon dann deinstallieren.

@sabina
Ist bekannt ob das Programm Spyware enthält?

gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.08.2004, 14:49
Member

Beiträge: 19
#114 ja weiß ich selbst, danke ;) hab ich auch nicht gefixt... ;)
Seitenanfang Seitenende
23.08.2004, 14:58
Member

Beiträge: 1095
#115

Zitat

DonDöna postete
ja weiß ich selbst, danke ;) hab ich auch nicht gefixt... ;)
Gut, der Mann. Weiterso ;)

Gruß paff
P.S.
Poste auf jedenfall nochmal das HiJackThis -Logfile wenn du fertig bist
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.08.2004, 15:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#116 hallo @DonDöna
<http://www.freeware.de/software/Programm_RichiStudios_DeskPartner_5869.html<
Bei solche Free-ware-Programmen , rate ich immer erst dazu, es aus dem Autostart zu nehmmen....
Es ist ja nicht geloescht dadurch.
Dann kann man mit den Spyscannern druebergehen und die "entscheiden " dann,
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.08.2004 um 15:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.08.2004, 16:24
Member

Beiträge: 19
#117 ja, stimmt schon, aber ich habe des öfteren mit dem autor des programmes kontakt, weil ich ihn zur erweiterung des programms anregen möchte (mir fallen ab und zu verbesserungen ein, die ich ganz gerne umgesetzt habe :-)
jedenfalls hat mir das programm noch keine probleme bereitet (ausserdem soll das programm ja das desktop-hintergrundbild bei jedem neustart ändern... ;)
soll ich die log-datei des escan teils auch posten? das würde ziemlich viel platz einnehmen... iss ne fette liste ^^
Dieser Beitrag wurde am 23.08.2004 um 16:30 Uhr von DonDöna editiert.
Seitenanfang Seitenende
23.08.2004, 16:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#118 Kopiere nur ab, wo ein Kommentar dasteht.(deleted, no action taken)
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.08.2004 um 16:33 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.08.2004, 16:53
Member

Beiträge: 19
#119 Mon Aug 23 14:48:30 2004 => File F:\WINNT\system32\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Mon Aug 23 14:48:32 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager deleted because it is infected by a Virus
Mon Aug 23 14:48:58 2004 => File F:\WINNT\system32\0021-bdl94126.EXE infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: File Deleted.
Mon Aug 23 14:50:39 2004 => File F:\WINNT\system32\pup.exe infected by "Trojan.Win32.Revop.c" Virus. Action Taken: File Deleted.
Mon Aug 23 14:50:49 2004 => File F:\WINNT\system32\SearchSquire33.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed.
Mon Aug 23 14:51:04 2004 => File F:\WINNT\system32\unSearch33.exe infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed.
Mon Aug 23 14:52:19 2004 => File C:\FUN\att1.RB0 infected by "not-virus:Joke.Win16.Stupid.a" Virus. Action Taken: File Renamed.
Mon Aug 23 14:58:08 2004 => File C:\Programme\Programme\cute4032.exe infected by "not-a-virus:AdvWare.TimeSink" Virus. Action Taken: File Renamed.
Mon Aug 23 15:18:27 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed.
Mon Aug 23 15:20:38 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140617-135.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed.
Mon Aug 23 15:20:39 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140617-464.dll infected by "not-a-virus:AdvWare.ClearSearch.d" Virus. Action Taken: File Renamed.
Mon Aug 23 15:20:39 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140619-520.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed.
Mon Aug 23 15:21:32 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted.
Mon Aug 23 15:32:57 2004 => File F:\Dokumente und Einstellungen\Administrator\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Mon Aug 23 15:38:48 2004 => File F:\Programme\Gemeinsame Dateien\behbfpdr\bpbfanppjl\nhcchfnbc.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
Mon Aug 23 15:38:49 2004 => File F:\Programme\Gemeinsame Dateien\behbfpdr\pleflept\encehetn.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSBIINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed.
Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSIE.DLL infected by "not-a-virus:AdvWare.ClearSearch.d" Virus. Action Taken: File Renamed.
Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSIEINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed.
Mon Aug 23 15:41:37 2004 => File F:\Programme\Lycos\IEagent\CSSSINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\gtrawbm.fil infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed.
F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df17\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed.
Mon Aug 23 16:09:54 2004 => File F:\WINNT\system32\msgfix.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Mon Aug 23 16:10:23 2004 => File F:\WINNT\system32\payload.dat infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Mon Aug 23 16:10:53 2004 => File F:\WINNT\system32\spool\drivers\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.

Mon Aug 23 16:14:06 2004 => Total Number of Files Scanned: 100353
Mon Aug 23 16:14:06 2004 => Total Number of Virus(es) Found: 37
Mon Aug 23 16:14:06 2004 => Total Number of Disinfected Files: 0
Mon Aug 23 16:14:06 2004 => Total Number of Files Renamed: 26
Mon Aug 23 16:14:06 2004 => Total Number of Deleted Files: 3
Mon Aug 23 16:14:06 2004 => Total Number of Errors: 3
Mon Aug 23 16:14:06 2004 => Time Elapsed: 01:25:31
Mon Aug 23 16:14:06 2004 => Virus Database Date: 2004/08/19
Mon Aug 23 16:14:06 2004 => Virus Database Count: 101270

----

ich hoffe, das sind die erwünschten daten...
Seitenanfang Seitenende
23.08.2004, 18:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#120 Hallo @DonDöna

1. leere den Papierkorb (da muessten diese Eintraege verschwinden F:\RECYCLER......................)
2. jetzt suchst du alle exe,und dll, wo angezeigt wurde<File Renamed<
falls du eine findest..loeschen.

3.dann scanne noch mal, bis das Virenlog leer bleibt.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.08.2004 um 18:21 Uhr von Sabina editiert.
Seitenanfang Seitenende