Habe mit wohl einen Trojaner eingefangen - immer falsche Startseite |
||
---|---|---|
#0
| ||
22.06.2004, 14:51
...neu hier
Beiträge: 3 |
||
|
||
22.06.2004, 15:34
Ehrenmitglied
Beiträge: 29434 |
#2
@cupar
Fixe mit dem HijackThis R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqfaw.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wqfaw.dll/sp.html#96676 F1 - win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe O2 - BHO: (no name) - {B5A0B57E-BE5F-BB13-6317-E2FCAB757146} - C:\WINDOWS\iewr.dll O4 - HKLM\..\Run: [iewr.exe] C:\WINDOWS\iewr.exe neustarten gehe in den abgesicherten Modus...F8 beim Hochfahren druecken # loesche C:\WINDOWS\iewr.dll #Loesche msxmidi.exe unpacked-msxmidi.exe #Gehe in die Registry und loesche auf der rechten Seite Start\Ausfuehren\regedit HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[iewr.exe] schliesse die Registry #LoescheC:\WINDOWS\iewr.exe #mache einen Vollscann mit dem Antivirus normal neustarten http://www.mwti.net/antivirus/free_utilities.asp Poste dann, was das Tool gefunden hat. ............................................................................................................. Schau mal unter Systemsteuerung/Verwaltung/Dienste ,ob da ein Dienst namens "Network Client" oder "Network Security Service" vorhanden ist. Dann bitte doppelklicken und posten was unter Pfad zur exe-Datei steht .............................................................................................................. #Lade AdAware free http://www.lavasoft.de/ #Mache unter Start\Programme\WindowsUpdate #Loesche unter InternetOptionen die TemporaryInternetFiles, stelle eine neue Startseite ein poste das Log noch mal Plus die anderen Infos, um die ich dich gebeten habe. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.06.2004 um 15:46 Uhr von Sabina editiert.
|
|
|
||
22.06.2004, 16:00
...neu hier
Themenstarter Beiträge: 3 |
#3
Danke für deine Hilfe.
Ich habe es gerade mit der Systemwiederherstellung auf einen früheren Zeitpunkt versucht und habe jetzt wieder meine normale Startseite. Ist damit mein problem dauerhaft gelöst oder schlummert die Malware noch irgendwo? Schöne Grüße cupar |
|
|
||
23.06.2004, 11:11
Ehrenmitglied
Beiträge: 29434 |
#4
cupar,
Das ist ja eine sehr interessante Problemloesung...... Poste mal das Log, da kann ich sehen, ob die Malware noch drauf ist. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
29.06.2004, 18:15
...neu hier
Beiträge: 5 |
#5
Hallo Cupar,
hatte ein ähnliches Problem, und würde mich auf für das Logfile interessieren und ob Du alles losgeworden bist. Bei mir war es eine Spyware, welche die Datei IESP.MHT als Startseite festlegt,... und das sehr sehr hartnäckig.... Als letzte Instanz hat auch bei mir nur die Systemwiederherstellung geholfen (aber sie hat,...wer hätte das gedacht? ;-) ) Aber zu beginn ist es sehr wichtig, alles, was schon angeführt wurde an Scan- und Removaltools anzuwenden. Bei mir waren es Antivir/ AdAware/ Spybot und abschliessend der CWShredder. Nur die Startseite blieb hartnäckig, erst nachdem ich die Systemwiederherstellung verwendet habe (aus dem abgesicherten Modus heraus!), hatte ich wieder Ruhe. Es ist also nicht auszuschließen, dass die Spyware nur auf dem Rechner ruht. Bei mir konnten u.a. folgende Trojaner gefunden werden, die b]gleichzeitig[/b] auf meinen Rechner einstürmten (System war am Vorabend clean): NetSky.P/ StartPage.IG.1 und PURScan.B.1. dazu noch die Spyware mit der iesp.mht und einer weiteren Datei namens NnjihjjK.exe, die von keinem der Scanner gefunden wurde. Sie viel mir nur auf, als sie sich beim Herunterfahren aufgehängt hatte und nicht zu schließen war, sie wurde in genau dem Zeitraum der Infizierung angelegt. War eine mächtig hartnäckige Geschichte,.. wahrlich nicht witzig. Hoffentlich bin ich mit meinem Posting noch nicht allzu spät. Viele Grüße, Füchti |
|
|
||
29.06.2004, 18:34
...neu hier
Beiträge: 3 |
#6
Hallo,
hoffentlich könnt ihr mir helfen, beim Starten von XP will sich der Rechner immer wieder einwählen. Hier mein logfile: Logfile of HijackThis v1.98.0 Scan saved at 18:23:13, on 29.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\Antivirus\AVGNT.EXE /min O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe O4 - HKLM\..\Run: [Smss] ssms.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe O4 - HKLM\..\RunServices: [Smss] ssms.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [Smss] ssms.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) Danke Jens |
|
|
||
29.06.2004, 18:56
Moderator
Beiträge: 7805 |
#7
Na, bei dir ist schon einiges "boese", fix mal das:
O4 - HKLM\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKLM\..\Run: [b3dupdate] C:\WINDOWS\BDE\b3dsetup.Exe -silent -p "C:\WINDOWS\BDE" -s setup.cab O4 - HKLM\..\Run: [BEED4F8F] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\Run: [WSAConfiguration] dsrss.exe O4 - HKLM\..\Run: [Microsoft Update] wserv32.exe O4 - HKLM\..\Run: [Smss] ssms.exe O4 - HKLM\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\Run: [SYSTEM] lsas.exe O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\System32\pzbbspv.exe O4 - HKLM\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - HKLM\..\RunServices: [WSAConfiguration] dsrss.exe O4 - HKLM\..\RunServices: [59E7FDE6] C:\WINDOWS\System32\rnmwukrdtckorl.exe O4 - HKLM\..\RunServices: [Microsoft Update] wserv32.exe O4 - HKLM\..\RunServices: [Smss] ssms.exe O4 - HKLM\..\RunServices: [Microsoft Updates] wkssvr.exe O4 - HKLM\..\RunServices: [SYSTEM] lsas.exe O4 - HKLM\..\RunServices: [MS Sound Config 16bit] sndcfg16.exe O4 - HKCU\..\Run: [WindowsMGM] C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif O4 - HKCU\..\Run: [sp] C:\WINDOWS\sp.exe O4 - HKCU\..\Run: [Microsoft Update] wserv32.exe O4 - HKCU\..\Run: [Smss] ssms.exe O4 - HKCU\..\Run: [Microsoft Updates] wkssvr.exe O4 - HKCU\..\Run: [SYSTEM] lsas.exe O4 - HKCU\..\Run: [MS Sound Config 16bit] sndcfg16.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C6 Starte neu und schicke diese Dateien C:\DOKUME~1\WOJACK~1\LOKALE~1\Temp\Untitled1.pif C:\WINDOWS\System32\pzbbspv.exe bitte an virus@protecus.de Auch das bitte abarbeiten: http://www.rokop-security.de/main/article.php?sid=703 __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 29.06.2004 um 18:58 Uhr von raman editiert.
|
|
|
||
29.06.2004, 20:07
...neu hier
Beiträge: 3 |
||
|
||
30.06.2004, 08:29
...neu hier
Beiträge: 5 |
#9
Moin noch mal,
hier noch mein Logfile anch der abenteurlichen Beseitigung inkl. Systemwiederherstellung. Wär nett, wenn Ihr mal schauen könnt, ob sich danoch was böses versteckt hält und weiterhelfen könnt,... Logfile of HijackThis v1.98.0 Scan saved at 23:53:45, on 29.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SpamPal\spampal.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe D:\Install\Neuer Ordner\HijackThis.exe F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2180d48c89d165cfc514/netzip/RdxIE601_de.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{178F1A71-507A-43A0-90E8-00743E51FFDF}: NameServer = xxx.x.xxx.xx,xxx.x.xxx.xx O17 - HKLM\System\CS1\Services\Tcpip\..\{178F1A71-507A-43A0-90E8-00743E51FFDF}: NameServer = xxx.x.xxx.xx,xxx.x.xxx.xx PS.: die beiden 017er sind hoffentlich richtig, habe nur die manuell eingetragenen IP'S meines Providers rausgenommen .. Viele Grüße, Marcus |
|
|
||
30.06.2004, 11:32
Ehrenmitglied
Beiträge: 29434 |
#10
@Fuechti
Fixe F0 - system.ini: Shell= neustarten scanne mit mwav.exe , das ist der escan...30 Tage free Berichte dann, ob das Tool was gefunden hat. http://www.mwti.net/antivirus/free_utilities.asp MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.06.2004 um 15:58 Uhr von Sabina editiert.
|
|
|
||
30.06.2004, 14:15
...neu hier
Beiträge: 5 |
#11
Hallo Sabina,
schon mal Danke für die Hilfe! Zitat Sabina posteteGemacht, kurze Frage: Habe dem Eintrag keinen großen Wert zugemessen,lag wohl falsch damit? Was bedeutet er? Zitat scanne mit mwav.exe , das ist der escan...30 Tage freeAuch gemacht, habe zunächst nur die Dateien gescant, die in der Registry eingetragen sind. (sind sonst 400Gb Fesplattenspeicher) Wed Jun 30 14:08:26 2004 => ***** Scanning complete. ***** Wed Jun 30 14:08:26 2004 => Total Number of Files Scanned: 262 Wed Jun 30 14:08:26 2004 => Total Number of Virus(es) Found: 0 Wed Jun 30 14:08:26 2004 => Total Number of Disinfected Files: 0 Wed Jun 30 14:08:26 2004 => Total Number of Files Renamed: 0 Wed Jun 30 14:08:26 2004 => Total Number of Deleted Files: 0 Wed Jun 30 14:08:26 2004 => Total Number of Errors: 1 Wed Jun 30 14:08:26 2004 => Time Elapsed: 00:00:06 Wed Jun 30 14:08:26 2004 => Virus Database Date: 2004/06/29 Wed Jun 30 14:08:26 2004 => Virus Database Count: 95936 Wed Jun 30 14:08:26 2004 => Scan Completed. Einen Virus hat er nicht gefunden, aber eine Fehlermeldung, die mich etwas irritiert: Wed Jun 30 14:03:33 2004 => ERROR!!! Invalid Entry System32\DRIVERS\IPFilter.sys in SYSTEM\CurrentControlSet\Services\IPFilter... (hoffe, die eine Zeile reicht, das ganze Protokoll ist etwas lang,... ) Kannst Du was damit anfangen? (habe so den Verdacht, als könne das der Grund dafür sein, dass ich auf diesem Rechner keine dynamische IP für die DSL-Einwahl beim provider machen kann...) Viele Grüße und nochmal Danke, Marcus Dieser Beitrag wurde am 30.06.2004 um 14:17 Uhr von Füchti editiert.
|
|
|
||
30.06.2004, 15:57
Ehrenmitglied
Beiträge: 29434 |
#12
@Fluechti
fixe auch noch 2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, neustarten ich war mir nicht sicher und musste mich erst schlau machen.. ................................................................................................. # Nach dem Aufruf des Servers auf einem System kopiert sich zum Beispiel ein Backdoor in den Windows-Ordner. Damit er bei jedem Systemstart in den Speicher geladen wird, trägt er sich in die win.ini und in die Registry ein. ........................................................................................................ 1.)den Eintrag "shell= in der System.ini ändern in "shell=Explorer.exe", 2.)KEY_CLASSES_ROOT\exefile\shell\open\command #Der Wert muss "%1" %* (Standardwert) sein. Ist davor noch ein Eintrag "Windos.exe", "run.exe" oder eine andere ausführbare Datei angegeben, notiere den Namen und setze den Eintrag auf den Standardwert "%1" %* zurück. ......................................................................................................... IP-Filter http://www.gbserver.de/faq,09,05,1033.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.06.2004 um 16:16 Uhr von Sabina editiert.
|
|
|
||
30.06.2004, 16:42
...neu hier
Beiträge: 5 |
#13
Hi Sabina,
Full Scan ist durch (2 Stunden, das nenne ich gründlich ), mit interessanten Ergebnissen. In der Tat hat der Sanner eine Datei mit einem Backdoor im Temp-Verzeichnis gefunden, der genau zur Zeit, als der ganze Schlamassel losging (gestern morgen) angelegt wurde. Allerdings bekam ich auch Meldungen über Programme, die eigentlich clean sein sollten, wie z.B. die "40th34.zip ", das ist mein HTML-Editor,.. den verwende ich schon ewig, sollte mich wundern, wenn der wirklich böse ist. Hier das Resultat (in Ausschnitten...): Wed Jun 30 16:20:54 2004 => ***** Scanning complete. ***** Wed Jun 30 16:20:54 2004 => Total Number of Files Scanned: 190612 Wed Jun 30 16:20:54 2004 => Total Number of Virus(es) Found: 6 Wed Jun 30 16:20:54 2004 => Total Number of Disinfected Files: 0 Wed Jun 30 16:20:54 2004 => Total Number of Files Renamed: 0 Wed Jun 30 16:20:54 2004 => Total Number of Deleted Files: 1 Wed Jun 30 16:20:54 2004 => Total Number of Errors: 1 Wed Jun 30 16:20:54 2004 => Time Elapsed: 02:04:17 Wed Jun 30 16:20:54 2004 => Virus Database Date: 2004/06/29 Wed Jun 30 16:20:54 2004 => Virus Database Count: 95936 Wed Jun 30 16:20:54 2004 => Scan Completed. File C:\Dokumente und Einstellungen\Füchti\Lokale Einstellungen\Temp\84.tmp infected by "Backdoor.Agent.aq" Virus. Action Taken: File Deleted. File D:\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP501\A0049748.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP501\A0050802.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File F:\Datensicherung\Sicherung D\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File G:\Install\40th34.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Kurze Frage noch zu: Zitat fixe auch nochFixen heißt löschen? EDIT von 17:50Uhr: Bin gerade mittelschwer vewirrt,..... Ich kann diese einträge: F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, mit HJT nicht fixen, sind immer wieder da,... was mach ich falsch? Noch ein EDIT von 20:30Uhr: Habe noch einen weiteren Nachtrag: Die system.ini scheint für Windows Xp standardmäßig den Bereich [boot] nicht zu kennen (habe 2 weitere Rechner geprüft), daher auch nicht den Eintrag shell= Kann das der Grund für die Meldung in HJT sein? Habe spaßeshalber mal diesen Eintrag und den Bereich boot angelegt und die Fehlermeldung erscheint nicht mehr. In der "MSCONFIG" (Start/Ausführen- msconfig eingeben) wird diese Eintragung nicht aufgeführt oder berücksichtigt. Maybe ist der Eintrag trotz der Meldung in HJT nicht böse? Bleibt nun noch die Frage nach: 2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, Viele Grüße und thx, Füchti Dieser Beitrag wurde am 30.06.2004 um 20:36 Uhr von Füchti editiert.
|
|
|
||
01.07.2004, 11:37
Ehrenmitglied
Beiträge: 29434 |
#14
@fluechti
1. Du musst die Wiederherstellung abstellen, booten und dann wieder aktivieren. So verschwinden die \_restore-Eintraege 2. Ich weiss, die Eintraege koennen nicht gefixt werden.... F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe, Man sollte sich keine Sorgen machen, wenn ansonsten der Computer virenfrei ist. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.07.2004, 19:17
...neu hier
Beiträge: 5 |
#15
Hi Sabina,
Zitat Sabina posteteJep, hat funktioniert, die wären dann auch weg Zitat 2. Ich weiss, die Eintraege koennen nicht gefixt werden....Ja, kann damit leben. den "shell=" eintrag konnte ich fixen, indem ich einfach die system.ini um die Werte: " [boot] shell=Explorer.exe " erweitert habe. Das bringt zwar dem System nichts, weil XP die Einträge nicht mehr kennt und das ohnehin für 16Bit Apps gilt, aber es schadet auch nicht, also auch gut Der zweite Eintrag, die Userinit scheint nur Rechner zu betreffen, die im Netz laufen, oder auf die andere Rechner/Benutzer Zugriffsrechte haben (ist bei mir der Fall, da gibt's noch mehr) Das ließ sich auch so in der Microsoft KnowledgeBase bestätigen (daher hier zur Info für andere Interessierte und Betroffene) Ich habe die Einträge auf meinen anderen Rechnern gefunden, und die waren alle nicht befallen, da sie zum Zeitpunkt der Infektion zum Glück abgeschaltet waren (Notebooks) Aber sowohl die, als auch meine Datensicherungsarchive hatten diese Eniträge, von daher kann ich damit leben Ansonsten ist das System wieder clean und ich bedanke mich noch mal herzlich dür die nette und prima Hilfe! Bis dann, Marcus |
|
|
||
Hoffentlich könnt ihr mir helfen.
Ad Aware, CWS Shredder und Spybod S+D haben mir nicht geholfen.
Logfile of HijackThis v1.97.7
Scan saved at 14:37:01, on 22.06.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVWin\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVWUPSRV.EXE
C:\WINDOWS\crrh.exe
C:\Programme\AVWin\AVMAILC.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\System32\atiptaxx.exe
C:\WINDOWS\System32\ICO.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\AVWin\AVGNT.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\iewr.exe
C:\Dokumente und Einstellungen\Meyer\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://wqfaw.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wqfaw.dll/sp.html#96676
F1 - win.ini: run=C:\WINDOWS\system32\services\msxmidi.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B5A0B57E-BE5F-BB13-6317-E2FCAB757146} - C:\WINDOWS\iewr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVWin\AVGNT.EXE /min
O4 - HKLM\..\Run: [AVWUpd32] C:\PROGRA~1\AVWin\Avwupd32.EXE /min
O4 - HKLM\..\Run: [iewr.exe] C:\WINDOWS\iewr.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab