Hijacker trotz Vorgehen wie Beschrieben! Z.B. Casinopalazzo.com |
||
---|---|---|
#0
| ||
17.06.2004, 21:32
...neu hier
Beiträge: 5 |
||
|
||
17.06.2004, 23:24
Member
Beiträge: 1095 |
#2
@lofote
Das sieht wild aus Date den Virenscanner up Schalte Systemwiederherstellung ab http://www.bsi.bund.de/av/texte/wiederher.htm Lösche temporäre Internetfiles Geh in den Abgesicherten Modus von XP http://www.bsi.de/av/texte/winsave.htm Fixe mal die Einträge O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\Run: [winguard] wingrd32.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wsqjsbe.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe O4 - HKLM\..\RunServices: [winguard] wingrd32.exe O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe O4 - HKCU\..\Run: [System Update4] c:\dokume~1\f\anwend~1\svchost.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe O4 - HKCU\..\Run: [winguard] wingrd32.exe Ganze Platte scannen mit Virenscanner Such die oben genannten Dateien und lösch Sie Auchte genau auf die Schreibweise Neustart machen und nochmal Logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 17.06.2004 um 23:25 Uhr von paff editiert.
|
|
|
||
18.06.2004, 00:28
...neu hier
Themenstarter Beiträge: 5 |
#3
Hallo Paff,
erstmal Danke für Deine rasche Antwort !! Hab es so ausgeführt wie Du es beschrieben hast und erhalten nun folgende Logfile: Logfile of HijackThis v1.97.7 Scan saved at 00:31:27, on 18.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\crypserv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\cvmss.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\InterVideo\WinDVR\WinScheduler.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\F\Lokale Einstellungen\Temp\Temporäres Verzeichnis 8 für hijackthis1977.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Preispiraten 2.02 (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de O17 - HKLM\System\CCS\Services\Tcpip\..\{0D373961-EF53-4D20-905D-1BC65F3EFE9A}: NameServer = 62.104.191.241 62.104.196.134 bis demnächst und nochmals danke!! Herzlichst, Lofote |
|
|
||
18.06.2004, 13:40
Member
Beiträge: 1095 |
#4
@Lofote
Überprüf mal die Datei noch C:\WINDOWS\system32\cvmss.exe hier http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
18.06.2004, 16:03
...neu hier
Themenstarter Beiträge: 5 |
#5
Hallo paff,
hab die Datei : C:\WINDOWS\system32\cvmss.exe überprüft und erhalte folgendes Ergebnis: Zu überprüfende Datei: cvmss.exe cvmss.exe - packed with UPX cvmss.exe Infiziert: DDoS.Win32.Boxed.a Statistiken: Bekannte Viren: 91202 Updated: 18-06-2004 Größe der Datei (Kb): 23 Viren-Korpus: 1 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Wahrscheinlich muss ich sie also löschen, oder?? Aber einfach fixen geht ja nicht, da der Eintrag nicht erscheint wenn man hijackthis.exe durchführt, oder?? Was nun? Dankeschön! Lofote |
|
|
||
18.06.2004, 16:09
Member
Beiträge: 1095 |
#6
@lofote
Geh mal in Systemsteuerung/verwaltung/dienste und schau ob dort ein Dienst namens "Network Security" oder so ähnlich eingetragen ist? Wenn ja doppelklicken und auf deaktiviert stellen Auf jeden Fall im abgesicherten Modus booten und die Datei einfach löschen. Auch hier die mwav.exe laden und im abgesicherten Modus scannen http://www.snapfiles.com/get/mwav.gif.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 18.06.2004 um 16:11 Uhr von paff editiert.
|
|
|
||
18.06.2004, 19:56
...neu hier
Themenstarter Beiträge: 5 |
#7
Hallo paff,
tut mir leid, aber ich komm nicht weiter - kenn mich wohl wie du gemerkt hast zu schlecht mit Computern aus... Habe in Systemsteuerung/verwaltung/dienste keinen Dienst namens "Network Security" oder ähnliches gefunden Soll ich die Datei: C:\WINDOWS\system32\cvmss.exe löschen?? Das Problem ist, ich finde sie nicht, auch nicht nach Eingabe als Suchbegriff... Danke für die Geduld Lofote |
|
|
||
19.06.2004, 08:02
Ehrenmitglied
Beiträge: 29434 |
#8
Geh mal in den abgesicherten Modus...F8 beim Hochfahren druecken und scanne dort mit der mwav.exe.
http://www.snapfiles.com/get/mwav.gif.html Falls das Tool die infizierte Datei nicht loescht, gib im abgesicherten Modus noch einmal cvmss.exe in die Suchfunktion ein ...\alle Dateien anzeigen\ einstellen. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
19.06.2004, 11:11
...neu hier
Themenstarter Beiträge: 5 |
#9
Hallo Sabina,
hab unter www.snapfiles.com/get/mwav.gif.html einen sog. "Spy Sweeper" heruntergeladen und im abgesicherten Modus durchgeführt. Hoffe, Du meintest das... Dabei erhalte ich folgendes Ergebnis: |··· Samstag, 19 Juni 2004 10:45 ···| ········· End of Session 10:46 ········· |··· Samstag, 19 Juni 2004 10:48 ···| 10:48 Sweeping memory for active software. 10:48 Memory sweep has completed. Found: Alexa Toolbar registry trace. Found: OpenSite registry trace. Found: SquireSearch registry trace. 10:50 Registry sweep completed. 10:50 Full sweep on all local drives initiated. 10:50 Now sweeping drive C: Found Adware: TopSearch, version 1 Found Adware: Cydoor Peer-to-Peer Dependency, version 3.2.1 10:57 Full Sweep has completed. Elapsed time 0 hours, 9 minutes, 29 seconds. Files swept: 29.081 Software Located: 10 Spy Sweeper quarantined registry traces of: Alexa Toolbar Spy Sweeper quarantined: Cydoor Peer-to-Peer Dependency Spy Sweeper quarantined registry traces of: OpenSite Spy Sweeper quarantined registry traces of: OpenSite Spy Sweeper quarantined registry traces of: OpenSite Spy Sweeper quarantined registry traces of: OpenSite Spy Sweeper quarantined registry traces of: OpenSite Spy Sweeper quarantined registry traces of: SquireSearch Spy Sweeper quarantined registry traces of: SquireSearch Spy Sweeper quarantined: TopSearch Konnte jedoch wieder die Datei "cvmss.exe" nicht finden... Was kann ich jetzt noch tun??? Vielen Dank + viele Grüße, Lofote |
|
|
||
19.06.2004, 14:38
Ehrenmitglied
Beiträge: 29434 |
#10
C:\WINDOWS\system32\cvmss.exe
die exe existiert Lade bitte mwav.exe.... MicroWorld Anti Virus Toolkit von dieser Site und scanne , am besten im abgesicherten Modus http://www.mwti.net/antivirus/free_utilities.asp poste dann das Ergebnis. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.06.2004 um 14:39 Uhr von Sabina editiert.
|
|
|
||
Logfile of HijackThis v1.97.7
Scan saved at 22:05:19, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\cvmss.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\wserv32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\scrgrd.exe
C:\WINDOWS\System32\wingrd32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svphost.exe
C:\dokume~1\f\anwend~1\svchost.exe
C:\WINDOWS\System32\wkssvr.exe
C:\WINDOWS\System32\windll32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\InterVideo\WinDVR\WinScheduler.exe
C:\Dokumente und Einstellungen\F\Lokale Einstellungen\Temp\Temporäres Verzeichnis 6 für hijackthis1977.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tagesschau.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [winguard] wingrd32.exe
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\wsqjsbe.exe
O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\RunServices: [winguard] wingrd32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [svphost.exe] C:\WINDOWS\system32\svphost.exe
O4 - HKCU\..\Run: [System Update4] c:\dokume~1\f\anwend~1\svchost.exe
O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe
O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [windll32.exe] C:\WINDOWS\System32\windll32.exe
O4 - HKCU\..\Run: [winguard] wingrd32.exe
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Programme\InterVideo\WinDVR\WinScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Preispiraten 2.02 (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.mediamarkt.de
VIELEN DANK SCHON MAL IM VORAUS!!!
Herzlichst, Lofote