Hijacker / Virus / Trojan modifiziert notepad.exe (file im thread) |
||
---|---|---|
#0
| ||
21.06.2004, 22:55
...neu hier
Beiträge: 6 |
||
|
||
22.06.2004, 10:59
Ehrenmitglied
Beiträge: 29434 |
#2
http://board.protecus.de/t9391.htm
Lade den HijackThis laden, scanne, save und kopiere das Log ins Forum MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.06.2004, 13:44
...neu hier
Themenstarter Beiträge: 6 |
#3
Ich denke die Antwort liegt in der oben beigefügten File, aber für alle Fälle hier die Logfile :
Eben sah ich nochmal ganz kurz diese Suchseite welche sich gestern immer als startseite lud. Scheint also wie vermutet noch nicht alles sauber zu sein. Achja und Spybot meldet immer DSO Exploit welchen ich fixe der dann aber nach dem systemstart wieder da ist. Laut der ersten Website die mir google dazu lieferte sei das ggf. ein bug in spybot und ich habs erstmal ignoriert. EDIT: Ojé .. das sieht nicht gut aus. Das Aufrufen von Norton Antivirus wird gefolgt von Spybot-SD Meldungen bzgl. versuchten Änderungen am Internet Explorer UND es tauchen beim Arbeiten mit N.A. Popups auf .. d.h. für mich, dass Norton Antivirus bereits infiziert und nutzlos geworden ist (und eine Menge Arbeit auch denke ich mal). Logfile of HijackThis v1.97.7 Scan saved at 13:41:16, on 22.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\DSL\NIS\NISUM.EXE C:\WINDOWS\ASUSKBService.exe D:\DSL\NIS\ccPxySvc.exe D:\DSL\NIS\Antivirus\navapsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\treiber\Logitech\itouch\iTouch\iTouch.exe C:\WINDOWS\System32\CTHELPER.EXE D:\DSL\Spamihilator\spamihilator.exe C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe D:\DSL\Spybot\TeaTimer.exe C:\Treiber\Main\Corecenter\CoreCenter.exe C:\Programme\Internet Explorer\iexplore.exe H:\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {0C09B36E-E564-4ED5-B0B0-E2CAB7F5FB64} - C:\WINDOWS\System32\kddld.dll (file missing) O2 - BHO: (no name) - {219159DD-E2B1-42C6-B602-520590F794C4} - C:\WINDOWS\System32\emp.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DSL\Spybot\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\DSL\Spybot\TeaTimer.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129 Dieser Beitrag wurde am 22.06.2004 um 14:15 Uhr von pingu12 editiert.
|
|
|
||
22.06.2004, 14:51
Ehrenmitglied
Beiträge: 29434 |
#4
@pingu12
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0C09B36E-E564-4ED5-B0B0-E2CAB7F5FB64} - C:\WINDOWS\System32\kddld.dll (file missing) O2 - BHO: (no name) - {219159DD-E2B1-42C6-B602-520590F794C4} - C:\WINDOWS\System32\emp.dll (file missing) neustarten gehe in den abgesicherten Modus...F8 beim Hochfahren druecken dort suchst und loescht du C:\WINDOWS\System32\kddld.dll C:\WINDOWS\System32\emp.dll normal neustarten #Lade AdAware free http://www.lavasoft.de/ #mache einen scann mit mwav.exe ...30 Tage free und ist kompativel mit dem Norton http://www.mwti.net/antivirus/free_utilities.asp Loesche manuell, was das Tool noch findet #Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein. Dann poste das Log mirt der neuen Startseite noch mal. Tip Lade den Firefox als AlternativBrowser...ist hijackerfrei http://www.firebird-browser.de/ MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 14:52 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 19:49
...neu hier
Themenstarter Beiträge: 6 |
#5
Logfile of HijackThis v1.97.7
Scan saved at 19:46:57, on 22.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe D:\DSL\NIS\NISUM.EXE C:\WINDOWS\ASUSKBService.exe D:\DSL\NIS\ccPxySvc.exe D:\DSL\NIS\Antivirus\navapsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\treiber\Logitech\itouch\iTouch\iTouch.exe C:\WINDOWS\System32\CTHELPER.EXE D:\DSL\Spamihilator\spamihilator.exe C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe C:\Treiber\Main\Corecenter\CoreCenter.exe C:\Programme\Internet Explorer\iexplore.exe D:\Sound\Winamp\winamp.exe H:\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000 O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316 O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129 Vielen vielen Dank für die Hilfe - jetzt schon zum zweiten mal. Ich hatte schon angefangen mich mit dem Gedanken einer Neuinstallation anzufreunden. Nun ist jedoch - wie es scheint - alles befriedigend bereinigt und ich habe 10 Stunden gespart Meine Antivirensoftware hat nun allerdings den letzten Funken Vertrauen verloren. Zum einen werde ich nun den Firebird mal eine Chance geben und zum anderen suche ich nun nach einem zuverlässigen Allroundschutz. Gibt es da irgendetwas auf dem Markt was sich auch regelmäßig aktualisiert ? Grade was Hijacking betrifft hat mir Norton sehr wenig gebracht. Ggf. leistet die Version Internet Sec. 04 mehr ? EDIT: Ab und zu taucht die Suchseite für eine Sekunde auf .. irgendwas ist da doch noch. Dieser Beitrag wurde am 22.06.2004 um 21:53 Uhr von pingu12 editiert.
|
|
|
||
23.06.2004, 10:07
Ehrenmitglied
Beiträge: 29434 |
#6
@Pingo 12
Auesserlich scheint das Log sauber. #nutze mal diesen Cleaner: ftp://ftp.kaspersky.com/utils/clrav.com #Loesche unter InternetOptionen die TemporaryInternetFiles #Lade Spybot...da gibt es auch eine Funktion, der bekannte Hackereintraege von vornherein blockt und man kann einstellen, dass die Startseite nicht verstellt wird http://beam.to/spybotsd #Den perfekten Virenscanner gibt es nicht. Ich arbeite mit Antivir., aber ich habe auch schon Logs gesehen, die Trojaner und den Antivir. hatten http://www.free-av.de/ es gibt fast jeden Tag eine Aktualisation. #man kan n auch regelmaessig einen Onlinescann machen http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php #lade a2 http://www.emsisoft.de/de/software/free/ #Lade eine Firewall http://smb.sygate.com/products/spf_standard.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2004, 19:16
...neu hier
Themenstarter Beiträge: 6 |
#7
alles getan .. entweder es hat nichts gebracht oder der firefox ist ebenfalls für die website anfällig.
Ich werds dann doch mit ner Neuinstallation lösen |
|
|
||
11.07.2004, 12:20
...neu hier
Beiträge: 5 |
#8
Also ich habe ein änliches problem mit dem notepad und zwar, ist er wahrscheinlich ersetzt worden. Wenn ich dokumente aufmachen will tut sich iergendwas aber nur das öffnen gelingt nicht.Mein Internet Explorer tut es nicht mehr, er sagt er würde die seiten nicht finden. Bitte um Hilfe. hier die hijack logs, auch schon online gecheckt, ein paar änderungen schon vorgenommen:
Logfile of HijackThis v1.98.0 Scan saved at 12:21:57, on 11.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Anvshell.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\Mixer.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Steam\Steam.exe C:\WINDOWS\wininet32.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Opera7\Opera.exe D:\Programme\office\Office10\OUTLOOK.EXE C:\Programme\Messenger\msmsgs.exe D:\Programme\Office\Office10\WINWORD.EXE D:\diverse\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://spystream.babenet.com/cabs/videox.cab O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab O16 - DPF: {A1A961DA-2BA6-4032-859E-01AC35357163} (One2One Viewer) - http://www.one2one.com/static/class/one2one.cab O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1012_EN_XP.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.service-url.de/StarInstall.ocx O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab |
|
|
||
11.07.2004, 12:45
Moderator
Beiträge: 7805 |
#9
Fix bitte das:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 (draum funktioniert dein IE nicht mehr) O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe und alle "O16" Eintraege. Dann neu starten und bitte diese Datei C:\WINDOWS\wininet32.exe an virus@protecus.de schicken. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.07.2004, 12:58
...neu hier
Beiträge: 5 |
#10
ich probiere es mal aus danke.Und explorer geht immer noch nicht.soll ich die datei auch löschen?
Dieser Beitrag wurde am 11.07.2004 um 13:29 Uhr von MariusRo editiert.
|
|
|
||
11.07.2004, 15:26
Ehrenmitglied
Beiträge: 29434 |
#11
MariusRo
Fixe alles, wie gesagt #C:\WINDOWS\wininet32.exe an virus@protecus.de schicken. #und lade mwav.exe http://www.mwti.net/antivirus/free_utilities.asp \alle Dateien \scannen. ................................................................................................ #Konfiguriere Antivirus-Einstellungen : Automatischen Scan stoppen, Internetupdate von Antivir starten, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #Mache einen Vollscann mit dem Antivirus #loesche unter \InternetOptionen die TemporaryInternetfiles und stelle eine neue Startseite ein. Dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.07.2004 um 15:29 Uhr von Sabina editiert.
|
|
|
||
11.07.2004, 15:44
...neu hier
Beiträge: 5 |
#12
Mache ich, aber ich bekomme keine meldung, von dem scanner, und kann ich auch nicht aktualisieren mit den neuesten definitionen.Kann ich auch personal antivir benutzen?Ich poste gleich erst mal die logs noch einmal.Und danke vielmals fuer die unterstüzung
Und hier die Logs Logfile of HijackThis v1.98.0 Scan saved at 16:48:54, on 11.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Anvshell.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\Mixer.exe C:\Programme\D-Tools\daemon.exe C:\WINDOWS\System32\devldr32.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Steam\Steam.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Opera7\Opera.exe D:\diverse\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE achso und der messenger von msn will auc nicht mehr verbinden.So langsam freunde ich mich mit neuaufspielen des systems an. Und nie wieder internet explorer benutzen Übrigens hier ist die antwort von der virenpolizei Hallo Marius, Datei ist infiziert mit "TrojanProxy.Win32.Raznew.gen". Bitte löschen und anschließend Dein System mit einem aktuellen Antiviren-Programm scannen. Grüße Jörg Rokop-Security Dieser Beitrag wurde am 11.07.2004 um 17:01 Uhr von MariusRo editiert.
|
|
|
||
11.07.2004, 19:58
Ehrenmitglied
Beiträge: 29434 |
#13
MariusRo
Fixe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 ist nicht \bad\, sollte aber aus dem Autostart raus...traegt sich bei Anwendung wieder ein O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe #und lade mwav.exe http://www.mwti.net/antivirus/free_utilities.asp \alle Dateien \scannen. Hier gibt es keine Aktualisierung...einfach nur \alle Dateien \ scannen ............................................................................................................................... Schritt 2 Aktualisiere deinen Personal/ Antivirus !!!!!!updaten !!!!!!!!! Konfiguriere den Antivirus AVGCtrl . Automatischen Scan stoppen, Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch) #Geh in den abgesicherten Modus...das ist wichtig ! http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Antivirus. #Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein. Dann poste, ob alles o.k. ist. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 11.07.2004 um 20:04 Uhr von Sabina editiert.
|
|
|
||
11.07.2004, 22:05
...neu hier
Beiträge: 5 |
#14
ok werde ich morgen machen.Danke. Und nun funzt der HiJackThis nicht mehr. Das ist die Meldung die kommt. E-mail schon losgeschickt. So eine SCH...
An unexpected error has occurred at procedure: cmdFix_Click() Error #75 - Path/File access error (19 items in results list) Please email me at merijn@spywareinfo.com, reporting the following: * What you were doing when the error occurred * How you can reproduce the error * A complete HijackThis scan log, if possible Windows version: Windows NT 5.01.2600 MSIE version: 6.0.2800.1106 HijackThis version: 1.98.0 This message has been copied to your clipboard. Dieser Beitrag wurde am 13.07.2004 um 09:30 Uhr von MariusRo editiert.
|
|
|
||
13.07.2004, 11:21
Ehrenmitglied
Beiträge: 29434 |
#15
Lasse das Fixe, lade einfach das ANTIVIRENTOOL
#und lade mwav.exe http://www.mwti.net/antivirus/free_utilities.asp \alle Dateien \scannen. Hier gibt es keine Aktualisierung...einfach nur \alle Dateien \ scannen MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich habe mir durch das Benutzen des Internet Explorers 6.0x mit Windows XP (aktuelle Version) Code eingefangen welcher nicht nur meinen Internet Explorer modifiziert und wie so oft eine Suchseite als Startseite gesetzt hat (in der adresszeile stand meine startseite "about:blank"), sondern auch die notepad.exe verändert oder ersetzt hat. Weitere Symptome waren gelegentliche popups wie "u are infected" .. "get antispyware" .. etc.
Ein NortonCheck ergab : Trojan.ByteVerify - 6 oder 7 elemente gelöscht. Adaware und Spybot haben auch etwas gefunden, habe mir aber deren Berichte nicht gemerkt.
Beim Start der notepad.exe musste ich jedoch feststellen, dass jene befallen ist. Symtome : Notepad versucht auf das Internet zuzugreifen und die Festplatte beginnt längere Zeit zu arbeiten. Die bekannte Andwendung läd nicht. Habe den Prozess dann per StrgAltEntf beendet und die notepad.exe durch eine funktionierende ersetzt.
Nun mache ich mir jedoch ein wenig Gedanken, dass Norton trotz aktueller Virendefinitionen in dieser File keine Bedrohung erkennt und stelle diese daher mal hier zum Download. Vielleicht kann ein anderer Scanner etwas finden.
Denn ich weiß nicht ob und wieviele andere Dateien durch den mir nicht bekannten Eindringling infiziert wurden. Ich gehe auf jeden Fall davon aus, dass es sich bei dem Verursacher für Browser und Notepadprobleme um delselben handelt, da ich bis Minuten vor dem Browserangriff noch mit dem Notepad gearbeitet habe.
Beste Grüße aus München
Pingu12
Achtung Virus : hxxp://www.online-central.de/notepad.exe
[Link leicht entschaerft]