Hijacker / Virus / Trojan modifiziert notepad.exe (file im thread)

#0
21.06.2004, 22:55
...neu hier

Beiträge: 6
#1 Hallo,

Ich habe mir durch das Benutzen des Internet Explorers 6.0x mit Windows XP (aktuelle Version) Code eingefangen welcher nicht nur meinen Internet Explorer modifiziert und wie so oft eine Suchseite als Startseite gesetzt hat (in der adresszeile stand meine startseite "about:blank"), sondern auch die notepad.exe verändert oder ersetzt hat. Weitere Symptome waren gelegentliche popups wie "u are infected" .. "get antispyware" .. etc.

Ein NortonCheck ergab : Trojan.ByteVerify - 6 oder 7 elemente gelöscht. Adaware und Spybot haben auch etwas gefunden, habe mir aber deren Berichte nicht gemerkt.

Beim Start der notepad.exe musste ich jedoch feststellen, dass jene befallen ist. Symtome : Notepad versucht auf das Internet zuzugreifen und die Festplatte beginnt längere Zeit zu arbeiten. Die bekannte Andwendung läd nicht. Habe den Prozess dann per StrgAltEntf beendet und die notepad.exe durch eine funktionierende ersetzt.

Nun mache ich mir jedoch ein wenig Gedanken, dass Norton trotz aktueller Virendefinitionen in dieser File keine Bedrohung erkennt und stelle diese daher mal hier zum Download. Vielleicht kann ein anderer Scanner etwas finden.

Denn ich weiß nicht ob und wieviele andere Dateien durch den mir nicht bekannten Eindringling infiziert wurden. Ich gehe auf jeden Fall davon aus, dass es sich bei dem Verursacher für Browser und Notepadprobleme um delselben handelt, da ich bis Minuten vor dem Browserangriff noch mit dem Notepad gearbeitet habe.

Beste Grüße aus München
Pingu12



Achtung Virus : hxxp://www.online-central.de/notepad.exe
[Link leicht entschaerft]
Dieser Beitrag wurde am 21.06.2004 um 23:04 Uhr von raman editiert.
Seitenanfang Seitenende
22.06.2004, 10:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 http://board.protecus.de/t9391.htm
Lade den HijackThis
laden, scanne, save und kopiere das Log ins Forum
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.06.2004, 13:44
...neu hier

Themenstarter

Beiträge: 6
#3 Ich denke die Antwort liegt in der oben beigefügten File, aber für alle Fälle hier die Logfile :

Eben sah ich nochmal ganz kurz diese Suchseite welche sich gestern immer als startseite lud. Scheint also wie vermutet noch nicht alles sauber zu sein.

Achja und Spybot meldet immer DSO Exploit welchen ich fixe der dann aber nach dem systemstart wieder da ist. Laut der ersten Website die mir google dazu lieferte sei das ggf. ein bug in spybot und ich habs erstmal ignoriert.

EDIT:

Ojé .. das sieht nicht gut aus. Das Aufrufen von Norton Antivirus wird gefolgt von Spybot-SD Meldungen bzgl. versuchten Änderungen am Internet Explorer UND es tauchen beim Arbeiten mit N.A. Popups auf .. d.h. für mich, dass Norton Antivirus bereits infiziert und nutzlos geworden ist (und eine Menge Arbeit auch denke ich mal).

Logfile of HijackThis v1.97.7
Scan saved at 13:41:16, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\DSL\NIS\NISUM.EXE
C:\WINDOWS\ASUSKBService.exe
D:\DSL\NIS\ccPxySvc.exe
D:\DSL\NIS\Antivirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\treiber\Logitech\itouch\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
D:\DSL\Spamihilator\spamihilator.exe
C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe
D:\DSL\Spybot\TeaTimer.exe
C:\Treiber\Main\Corecenter\CoreCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
H:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0C09B36E-E564-4ED5-B0B0-E2CAB7F5FB64} - C:\WINDOWS\System32\kddld.dll (file missing)
O2 - BHO: (no name) - {219159DD-E2B1-42C6-B602-520590F794C4} - C:\WINDOWS\System32\emp.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\DSL\Spybot\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\DSL\Spybot\TeaTimer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129
Dieser Beitrag wurde am 22.06.2004 um 14:15 Uhr von pingu12 editiert.
Seitenanfang Seitenende
22.06.2004, 14:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @pingu12

Fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0C09B36E-E564-4ED5-B0B0-E2CAB7F5FB64} - C:\WINDOWS\System32\kddld.dll (file missing)
O2 - BHO: (no name) - {219159DD-E2B1-42C6-B602-520590F794C4} - C:\WINDOWS\System32\emp.dll (file missing)

neustarten


gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

dort suchst und loescht du
C:\WINDOWS\System32\kddld.dll
C:\WINDOWS\System32\emp.dll

normal neustarten

#Lade AdAware free
http://www.lavasoft.de/

#mache einen scann mit mwav.exe ...30 Tage free und ist kompativel mit dem Norton
http://www.mwti.net/antivirus/free_utilities.asp
Loesche manuell, was das Tool noch findet

#Loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine neue Startseite ein.

Dann poste das Log mirt der neuen Startseite noch mal.

Tip
Lade den Firefox als AlternativBrowser...ist hijackerfrei
http://www.firebird-browser.de/

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.06.2004 um 14:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.06.2004, 19:49
...neu hier

Themenstarter

Beiträge: 6
#5 Logfile of HijackThis v1.97.7
Scan saved at 19:46:57, on 22.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\DSL\NIS\NISUM.EXE
C:\WINDOWS\ASUSKBService.exe
D:\DSL\NIS\ccPxySvc.exe
D:\DSL\NIS\Antivirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\treiber\Logitech\itouch\iTouch\iTouch.exe
C:\WINDOWS\System32\CTHELPER.EXE
D:\DSL\Spamihilator\spamihilator.exe
C:\treiber\Logitech\Maus\MouseWare\system\em_exec.exe
C:\Treiber\Main\Corecenter\CoreCenter.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Sound\Winamp\winamp.exe
H:\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Grafik\areader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\DSL\NIS\Antivirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\DSL\NIS\Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Treiber\Sound\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\grafik\Quicktime\qttask.exe" -atboottime
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/20c2cc27d436cb3e0419/netzip/RdxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38082.7011921296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCXs/CtORWebClientNoMFC.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?316
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2764ED7E-B322-4726-8A9E-54978D5F7341}: NameServer = 217.237.151.33 194.25.2.129

Vielen vielen Dank für die Hilfe - jetzt schon zum zweiten mal. Ich hatte schon angefangen mich mit dem Gedanken einer Neuinstallation anzufreunden. Nun ist jedoch - wie es scheint - alles befriedigend bereinigt und ich habe 10 Stunden gespart :p

Meine Antivirensoftware hat nun allerdings den letzten Funken Vertrauen verloren. Zum einen werde ich nun den Firebird mal eine Chance geben und zum anderen suche ich nun nach einem zuverlässigen Allroundschutz. Gibt es da irgendetwas auf dem Markt was sich auch regelmäßig aktualisiert ? Grade was Hijacking betrifft hat mir Norton sehr wenig gebracht. Ggf. leistet die Version Internet Sec. 04 mehr ?


EDIT:
Ab und zu taucht die Suchseite für eine Sekunde auf .. irgendwas ist da doch noch.
Dieser Beitrag wurde am 22.06.2004 um 21:53 Uhr von pingu12 editiert.
Seitenanfang Seitenende
23.06.2004, 10:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 @Pingo 12
Auesserlich scheint das Log sauber.

#nutze mal diesen Cleaner:
ftp://ftp.kaspersky.com/utils/clrav.com
#Loesche unter InternetOptionen die TemporaryInternetFiles

#Lade Spybot...da gibt es auch eine Funktion, der bekannte Hackereintraege von vornherein blockt
und man kann einstellen, dass die Startseite nicht verstellt wird
http://beam.to/spybotsd

#Den perfekten Virenscanner gibt es nicht.
Ich arbeite mit Antivir., aber ich habe auch schon Logs gesehen, die Trojaner und den Antivir. hatten
http://www.free-av.de/
es gibt fast jeden Tag eine Aktualisation.

#man kan n auch regelmaessig einen Onlinescann machen
http://uk.trendmicro-europe.com/enterprise/products/housecall_launch.php

#lade a2
http://www.emsisoft.de/de/software/free/

#Lade eine Firewall
http://smb.sygate.com/products/spf_standard.htm

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2004, 19:16
...neu hier

Themenstarter

Beiträge: 6
#7 alles getan .. entweder es hat nichts gebracht oder der firefox ist ebenfalls für die website anfällig.

Ich werds dann doch mit ner Neuinstallation lösen
Seitenanfang Seitenende
11.07.2004, 12:20
...neu hier

Beiträge: 5
#8 Also ich habe ein änliches problem mit dem notepad und zwar, ist er wahrscheinlich ersetzt worden. Wenn ich dokumente aufmachen will tut sich iergendwas aber nur das öffnen gelingt nicht.Mein Internet Explorer tut es nicht mehr, er sagt er würde die seiten nicht finden. Bitte um Hilfe. hier die hijack logs, auch schon online gecheckt, ein paar änderungen schon vorgenommen:

Logfile of HijackThis v1.98.0
Scan saved at 12:21:57, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Steam\Steam.exe
C:\WINDOWS\wininet32.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Opera7\Opera.exe
D:\Programme\office\Office10\OUTLOOK.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Office\Office10\WINWORD.EXE
D:\diverse\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://chat.privatefeeds.com:8000/java/cr.cab
O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1015_EN_XP.cab
O16 - DPF: {0E4796D6-A990-4372-9069-72FBDB4AE868} - http://www.one2one.com/static/class/one2oneSvc.cab
O16 - DPF: {1C955F3B-5B32-4393-A05D-24B4970CD2A1} (Video Class) - http://spystream.babenet.com/cabs/videox.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN_XP.cab
O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {A1A961DA-2BA6-4032-859E-01AC35357163} (One2One Viewer) - http://www.one2one.com/static/class/one2one.cab
O16 - DPF: {CEFB7B49-9652-464F-8AFD-A577C0500F39} (EGP2ECOM Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1012_EN_XP.cab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - http://install.service-url.de/StarInstall.ocx
O16 - DPF: {EEECA057-AD0F-44A7-8BE5-8634CEDBDBD1} - http://akamai.downloadv3.com/binaries/IA/netpe32_EN_XP.cab
Seitenanfang Seitenende
11.07.2004, 12:45
Moderator

Beiträge: 7805
#9 Fix bitte das:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 (draum funktioniert dein IE nicht mehr)
O4 - HKCU\..\Run: [Plug and Play] C:\WINDOWS\wininet32.exe
und alle "O16" Eintraege.

Dann neu starten und bitte diese Datei C:\WINDOWS\wininet32.exe an virus@protecus.de schicken.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.07.2004, 12:58
...neu hier

Beiträge: 5
#10 ich probiere es mal aus danke.Und explorer geht immer noch nicht.soll ich die datei auch löschen?
Dieser Beitrag wurde am 11.07.2004 um 13:29 Uhr von MariusRo editiert.
Seitenanfang Seitenende
11.07.2004, 15:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 MariusRo
Fixe alles, wie gesagt

#C:\WINDOWS\wininet32.exe an virus@protecus.de schicken.
#und lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
\alle Dateien \scannen.
................................................................................................
#Konfiguriere
Antivirus-Einstellungen :

Automatischen Scan stoppen,
Internetupdate von Antivir starten,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

Gehe in den abgesicherten Modus
http://www.bsi.de/av/texte/winsave.htm

#Mache einen Vollscann mit dem Antivirus
#loesche unter \InternetOptionen die TemporaryInternetfiles und stelle eine neue Startseite ein.

Dann poste das Log noch mal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.07.2004 um 15:29 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.07.2004, 15:44
...neu hier

Beiträge: 5
#12 Mache ich, aber ich bekomme keine meldung, von dem scanner, und kann ich auch nicht aktualisieren mit den neuesten definitionen.Kann ich auch personal antivir benutzen?Ich poste gleich erst mal die logs noch einmal.Und danke vielmals fuer die unterstüzung;)

Und hier die Logs

Logfile of HijackThis v1.98.0
Scan saved at 16:48:54, on 11.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Anvshell.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Steam\Steam.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Opera7\Opera.exe
D:\diverse\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\adobe\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] C:\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE

achso und der messenger von msn will auc nicht mehr verbinden.So langsam freunde ich mich mit neuaufspielen des systems an. Und nie wieder internet explorer benutzen;)

Übrigens hier ist die antwort von der virenpolizei;)

Hallo Marius,

Datei ist infiziert mit "TrojanProxy.Win32.Raznew.gen". Bitte löschen und anschließend Dein System mit einem aktuellen Antiviren-Programm scannen.

Grüße Jörg
Rokop-Security
Dieser Beitrag wurde am 11.07.2004 um 17:01 Uhr von MariusRo editiert.
Seitenanfang Seitenende
11.07.2004, 19:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 MariusRo

Fixe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080

ist nicht \bad\, sollte aber aus dem Autostart raus...traegt sich bei Anwendung wieder ein
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe


#und lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
\alle Dateien \scannen.
Hier gibt es keine Aktualisierung...einfach nur \alle Dateien \ scannen
...............................................................................................................................
Schritt 2
Aktualisiere deinen Personal/ Antivirus !!!!!!updaten !!!!!!!!!
Konfiguriere den Antivirus AVGCtrl
.
Automatischen Scan stoppen,
Einstellungen hochschrauben (Suchen: ALLE DATEIN, Reperatur: OHNE RÜCKFRAGEN, Löschen bei fehlgeschlagener Reperatur: LÖSCHEN OHNE RÜCKFRAGEN, Unerwünschte Programme: ALLE ausser spiele, Heuristik: Win32 Heuristik Priorität hoch)

#Geh in den abgesicherten Modus...das ist wichtig !
http://www.bsi.de/av/texte/winsave.htm
und mache einen Vollscann mit dem Antivirus.


#Dann loesche unter InternetOptionen die TemporaryInternetFiles und stelle eine Startseite ein.
Dann poste, ob alles o.k. ist.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.07.2004 um 20:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.07.2004, 22:05
...neu hier

Beiträge: 5
#14 ok werde ich morgen machen.Danke. Und nun funzt der HiJackThis nicht mehr. Das ist die Meldung die kommt. E-mail schon losgeschickt. So eine SCH...

An unexpected error has occurred at procedure: cmdFix_Click()
Error #75 - Path/File access error (19 items in results list)

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.0

This message has been copied to your clipboard.
Dieser Beitrag wurde am 13.07.2004 um 09:30 Uhr von MariusRo editiert.
Seitenanfang Seitenende
13.07.2004, 11:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Lasse das Fixe, lade einfach das ANTIVIRENTOOL

#und lade mwav.exe
http://www.mwti.net/antivirus/free_utilities.asp
\alle Dateien \scannen.
Hier gibt es keine Aktualisierung...einfach nur \alle Dateien \ scannen

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: