lsass.exe / avserve.exe Problem = Virus: W32/Sasser.a » LösungThema ist geschlossen! |
|
---|---|
Thema ist geschlossen! |
|
22.06.2004, 19:31
...neu hier
Beiträge: 3 |
|
|
|
23.06.2004, 10:17
Ehrenmitglied
Beiträge: 29434 |
#107
@dan 86
Gute Arbeit..... Fixe bitte noch O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file) O4 - Global Startup: updater.lnk = C:\Programme\Common Files\updater\wupdater.exe und lade einen Antivir. da du ja den Symantec deinstalliert hat http://www.free-av.de/ beim Antivir. stelle unter Optionen ein...\alle Dateien scannen\ und mache immer die Updates Dann lade noch a2 http://www.emsisoft.de/de/software/free/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.06.2004 um 23:38 Uhr von Sabina editiert.
|
|
|
23.06.2004, 10:20
Ehrenmitglied
Beiträge: 29434 |
#108
@elias koegel
Lade das HijackThis, scanne, save und kopiere das Log ins Forum http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
25.06.2004, 19:13
...neu hier
Beiträge: 2 |
#109
Zitat Dafra posteteHallo Dafra, ich habe bei einem Freund das selbe Problem mit sassern und so gehabt. Durch zufall bin ich bei Google auf eure Seite gekommen. Ich habe Schritt für Schritt deine Anweisungen beachtet und auch das Tool von Microschrott gelouded und ausgeführt. Das hat prima hingehauen und habe noch einem Kollegen damit geholfen, dessen PC auch verseucht war. Guter Tipp! MfG Ulli Dieser Beitrag wurde am 25.06.2004 um 19:20 Uhr von Ulli editiert.
|
|
|
23.08.2004, 13:14
Member
Beiträge: 19 |
#110
ich hab mir wohl auch eine art des sasser eingefangen, bin zwar nicht wirklich sicher, welche genau aber ich hab auch mal den hijacker drübergejagt kann damit allerdings nicht so viel anfangen... wäre nett, wenn jemand antwortet!
Logfile of HijackThis v1.98.2 Scan saved at 13:08:18, on 23.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: F:\WINNT\System32\smss.exe F:\WINNT\system32\winlogon.exe F:\WINNT\system32\services.exe F:\WINNT\system32\lsass.exe F:\WINNT\system32\svchost.exe F:\WINNT\system32\spoolsv.exe F:\WINNT\System32\svchost.exe F:\WINNT\System32\nvsvc32.exe F:\WINNT\system32\regsvc.exe F:\WINNT\system32\MSTask.exe F:\WINNT\System32\tcpsvcs.exe F:\WINNT\system32\stisvc.exe F:\WINNT\System32\WBEM\WinMgmt.exe F:\WINNT\system32\svchost.exe F:\WINNT\Explorer.EXE F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe G:\WhatPulse.exe F:\PROGRA~1\FASTDE~1\FAST2.EXE C:\uptime-project\client.exe F:\WINNT\system32\rundll32.exe F:\Programme\Gemeinsame Dateien\GMT\GMT.exe F:\WINNT\system32\taskmgr.exe C:\Programme\WinRAR.exe F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.582\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://users.pandora.be/topsite R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - F:\PROGRA~1\Lycos\IEagent\CSIE.DLL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O2 - BHO: SearchSquire3 - {907CA0E5-CE84-11D6-9508-02608CDD2846} - F:\WINNT\System32\SEARCH~1.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINNT\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [MSConfig] F:\WINNT\msconfig.exe /auto O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [CMESys] "F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKCU\..\Run: [WhatPulse] G:\WhatPulse.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [FAST Defrag] F:\PROGRA~1\FASTDE~1\FAST2.EXE -tray O4 - HKCU\..\Run: [Uptime-Project] C:\uptime-project\client.exe O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALLP.EXE O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo\Messenger\yhexbmes0411.dll (file missing) O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WINNT\web\related.htm O15 - Trusted Zone: http://ad.searchsquire.com O15 - Trusted Zone: http://search.searchsquire.com O15 - Trusted Zone: http://update.searchsquire.com O15 - Trusted Zone: http://www.searchsquire.com O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab O16 - DPF: {30000273-8230-4DD4-BE4F-6889D1E74167} - http://download.abetterinternet.com/download/cabs/LOT64106/thin.cab O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/de/win/QuickTimeInstaller.exe O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/de/win/QuickTimeInstaller.exe O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {907CA0E5-CE84-11D6-9508-02608CDD2846} (Squire Class) - http://update.searchsquire.com/SearchSquire33.CAB O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab |
|
|
23.08.2004, 13:48
Ehrenmitglied
Beiträge: 29434 |
#111
@DonDöna
Deaktiviere die Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe mit dem HijackThis, was ich poste , dann starte sofort neu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hkcu R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://users.pandora.be/topsite R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?new-hklm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://users.pandora.be/topsite R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://users.pandora.be/topsite O2 - BHO: CSIECore Class - {00000000-0000-0000-0000-000000000221} - F:\PROGRA~1\Lycos\IEagent\CSIE.DLL O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O2 - BHO: SearchSquire3 - {907CA0E5-CE84-11D6-9508-02608CDD2846} - F:\WINNT\System32\SEARCH~1.DLL C:\Programme\Yahoo\Companion\Installs\cpn\ycomp5_3_12_0.dll (file missing) O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart O4 - HKLM\..\Run: [CMESys] "F:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALL O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\WINNT\System32\msjava.dll Wenn 'http://search.searchsquire.com ' nicht wissentlich zu Ihren 'Vertrauenswürdigen Seiten' gehört, bitte fixen. O15 - Trusted Zone: http://ad.searchsquire.com O15 - Trusted Zone: http://search.searchsquire.com O15 - Trusted Zone: http://update.searchsquire.com O15 - Trusted Zone: http://www.searchsquire.com O16 - DPF: {907CA0E5-CE84-11D6-9508-02608CDD2846} (Squire Class) - http://update.searchsquire.com/SearchSquire33.CAB neustarten ------------------------------------------------------------------------------ LoescheGator Spyware Component) Gehe in die Registry Start<Ausfuehren<regedit loesche diesen Eintrag, falls er existiert: HKEY_CLASSES_ROOT\CLSID\{21FFB6C0-0DA1-11D5-A9D5- 00500413153C} HKEY_LOCAL_MACHINE\SOFTWARE\Gator.com HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run CMESys = ""%Program Files%\Common Files\CMEII\CMESys.exe"" schliesse die Registry neustarten Loesche: fsg_4201a.exe oder fsg_4201y.exe F:\Programme\Gemeinsame Dateien\GMT\GMT.exe FSG.EXE F:\Programme\Gemeinsame Dateien\CMEII http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=SPYW_GATOR.B&VSect=T #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. ................................................................................................... #Lade Spybot http://www.safer-networking.org/de/download/index.html #Lade AdAware free http://www.lavasoft.de/support/download/ #Dann poste bitte, was der <eScan< gefunden hat.(Virenlog)....am Besten , du machst noch mal einen Scann im Normalmodus.... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 14:00 Uhr von Sabina editiert.
|
|
|
23.08.2004, 14:17
Member
Beiträge: 19 |
#112
vielleicht habe ich vergessen zu erwähnen, dass ich win2k nutze... nicht xp... bin noch von der alten sorte...
|
|
|
23.08.2004, 14:45
Member
Beiträge: 1095 |
#113
@DonDöna
Das hier muß man nicht fixen O4 - HKLM\..\Run: [RSDeskPartner] "C:\Programme\Desktoprandomizer\DeskPartner\DeskPartner.exe" /Autostart O4 - Startup: Hintergrundbild wechseln.lnk = C:\Programme\Desktoprandomizer\wallpaperchanger\CHGWALL Ist ein DesktopHintergrundBild Programm http://rapidascentsoftware.com/Products/DesktopRandomizer/ Wenn schon dann deinstallieren. @sabina Ist bekannt ob das Programm Spyware enthält? gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.08.2004, 14:49
Member
Beiträge: 19 |
#114
ja weiß ich selbst, danke hab ich auch nicht gefixt...
|
|
|
23.08.2004, 14:58
Member
Beiträge: 1095 |
#115
Zitat DonDöna posteteGut, der Mann. Weiterso Gruß paff P.S. Poste auf jedenfall nochmal das HiJackThis -Logfile wenn du fertig bist __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
23.08.2004, 15:35
Ehrenmitglied
Beiträge: 29434 |
#116
hallo @DonDöna
<http://www.freeware.de/software/Programm_RichiStudios_DeskPartner_5869.html< Bei solche Free-ware-Programmen , rate ich immer erst dazu, es aus dem Autostart zu nehmmen.... Es ist ja nicht geloescht dadurch. Dann kann man mit den Spyscannern druebergehen und die "entscheiden " dann, mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 15:35 Uhr von Sabina editiert.
|
|
|
23.08.2004, 16:24
Member
Beiträge: 19 |
#117
ja, stimmt schon, aber ich habe des öfteren mit dem autor des programmes kontakt, weil ich ihn zur erweiterung des programms anregen möchte (mir fallen ab und zu verbesserungen ein, die ich ganz gerne umgesetzt habe :-)
jedenfalls hat mir das programm noch keine probleme bereitet (ausserdem soll das programm ja das desktop-hintergrundbild bei jedem neustart ändern... soll ich die log-datei des escan teils auch posten? das würde ziemlich viel platz einnehmen... iss ne fette liste ^^ Dieser Beitrag wurde am 23.08.2004 um 16:30 Uhr von DonDöna editiert.
|
|
|
23.08.2004, 16:32
Ehrenmitglied
Beiträge: 29434 |
#118
Kopiere nur ab, wo ein Kommentar dasteht.(deleted, no action taken)
Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 16:33 Uhr von Sabina editiert.
|
|
|
23.08.2004, 16:53
Member
Beiträge: 19 |
#119
Mon Aug 23 14:48:30 2004 => File F:\WINNT\system32\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed.
Mon Aug 23 14:48:32 2004 => *** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Synchronization Manager deleted because it is infected by a Virus Mon Aug 23 14:48:58 2004 => File F:\WINNT\system32\0021-bdl94126.EXE infected by "TrojanDownloader.Win32.VB.ca" Virus. Action Taken: File Deleted. Mon Aug 23 14:50:39 2004 => File F:\WINNT\system32\pup.exe infected by "Trojan.Win32.Revop.c" Virus. Action Taken: File Deleted. Mon Aug 23 14:50:49 2004 => File F:\WINNT\system32\SearchSquire33.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed. Mon Aug 23 14:51:04 2004 => File F:\WINNT\system32\unSearch33.exe infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed. Mon Aug 23 14:52:19 2004 => File C:\FUN\att1.RB0 infected by "not-virus:Joke.Win16.Stupid.a" Virus. Action Taken: File Renamed. Mon Aug 23 14:58:08 2004 => File C:\Programme\Programme\cute4032.exe infected by "not-a-virus:AdvWare.TimeSink" Virus. Action Taken: File Renamed. Mon Aug 23 15:18:27 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed. Mon Aug 23 15:20:38 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140617-135.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed. Mon Aug 23 15:20:39 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140617-464.dll infected by "not-a-virus:AdvWare.ClearSearch.d" Virus. Action Taken: File Renamed. Mon Aug 23 15:20:39 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\Rar$EX00.705\backups\backup-20040823-140619-520.dll infected by "not-a-virus:AdvWare.SearchSquire" Virus. Action Taken: File Renamed. Mon Aug 23 15:21:32 2004 => File F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\remove.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted. Mon Aug 23 15:32:57 2004 => File F:\Dokumente und Einstellungen\Administrator\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Mon Aug 23 15:38:48 2004 => File F:\Programme\Gemeinsame Dateien\behbfpdr\bpbfanppjl\nhcchfnbc.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed. Mon Aug 23 15:38:49 2004 => File F:\Programme\Gemeinsame Dateien\behbfpdr\pleflept\encehetn.exe infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed. Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSBIINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed. Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSIE.DLL infected by "not-a-virus:AdvWare.ClearSearch.d" Virus. Action Taken: File Renamed. Mon Aug 23 15:41:36 2004 => File F:\Programme\Lycos\IEagent\CSIEINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed. Mon Aug 23 15:41:37 2004 => File F:\Programme\Lycos\IEagent\CSSSINST.DLL infected by "not-a-virus:AdvWare.ClearSearch.b" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGGCEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGIEProcess.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\EGNSEngine.dll infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\GatorStubSetup.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df16\gtrawbm.fil infected by "Backdoor.Agent.ay" Virus. Action Taken: File Renamed. F:\RECYCLER\S-1-5-21-73586283-436374069-854245398-500\Df17\CMESys.exe infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed. Mon Aug 23 16:09:54 2004 => File F:\WINNT\system32\msgfix.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Mon Aug 23 16:10:23 2004 => File F:\WINNT\system32\payload.dat infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Mon Aug 23 16:10:53 2004 => File F:\WINNT\system32\spool\drivers\winfcs32.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Mon Aug 23 16:14:06 2004 => Total Number of Files Scanned: 100353 Mon Aug 23 16:14:06 2004 => Total Number of Virus(es) Found: 37 Mon Aug 23 16:14:06 2004 => Total Number of Disinfected Files: 0 Mon Aug 23 16:14:06 2004 => Total Number of Files Renamed: 26 Mon Aug 23 16:14:06 2004 => Total Number of Deleted Files: 3 Mon Aug 23 16:14:06 2004 => Total Number of Errors: 3 Mon Aug 23 16:14:06 2004 => Time Elapsed: 01:25:31 Mon Aug 23 16:14:06 2004 => Virus Database Date: 2004/08/19 Mon Aug 23 16:14:06 2004 => Virus Database Count: 101270 ---- ich hoffe, das sind die erwünschten daten... |
|
|
23.08.2004, 18:16
Ehrenmitglied
Beiträge: 29434 |
#120
Hallo @DonDöna
1. leere den Papierkorb (da muessten diese Eintraege verschwinden F:\RECYCLER......................) 2. jetzt suchst du alle exe,und dll, wo angezeigt wurde<File Renamed< falls du eine findest..loeschen. 3.dann scanne noch mal, bis das Virenlog leer bleibt. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 23.08.2004 um 18:21 Uhr von Sabina editiert.
|
|
|
Logfile of HijackThis v1.97.7
Scan saved at 19:29:52, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\STOPzilla!\szntsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Common Files\Dpi\dpi.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\STOPzilla!\Stopzilla.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\by the way.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-aware.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Ingelein\LOKALE~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://de.docs.yahoo.com/info/ie6.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?p=%s
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Dpi] C:\Programme\Common Files\Dpi\dpi.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [STOPzilla] "C:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: updater.lnk = C:\Programme\Common Files\updater\wupdater.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra 'Tools' menuitem: MaxSpeed (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: @btrez.dll,-4015 (HKLM)
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} - http://install.global-netcom.de/ieloader.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/pub/shockwave/cabs/director/swdir.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {52290B25-D07A-43B5-84D8-493116D50FA0} - http://webinstall.tscash.com/webinstall.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/051989edd95fa643c906/netzip/RdxIE601_de.cab
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.de/downloads/BUM/BUM_WIN_IE_1/axofupld.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://arcade.icq.com/multiplayer/odyssey_web8.cab
O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - http://www2.flingstone.com/cab/2000XP/CDTInc/bridge.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38155.6595601852
O16 - DPF: {C3DFA998-A486-11D4-AA25-00C04F72DAEB} (MSN Photo Upload Tool) - http://photos.msn.de/resources/neutral/controls/MsnPUpld.cab?9,0,917,0
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - http://www.stopzilla.com/_download/Auto_Installer/dwnldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{21A39FAC-9324-470D-BEFC-A998C60A070A}: NameServer = 217.237.150.33 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{21A39FAC-9324-470D-BEFC-A998C60A070A}: NameServer = 217.237.150.33 194.25.2.129