Opera 02 Mail - Probleme mit Viren |
||
---|---|---|
#0
| ||
23.06.2004, 15:09
Member
Beiträge: 13 |
||
|
||
23.06.2004, 16:41
Ehrenmitglied
Beiträge: 29434 |
#2
http://board.protecus.de/t9391.htm
Lade das HijackThis, scanne, save und kopiere das Log ins Forum. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.06.2004, 14:46
Member
Themenstarter Beiträge: 13 |
#3
Logfile of HijackThis v1.97.7
Scan saved at 14:46:11, on 24.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\No-IP\DUC20.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\SECRETMAKER\secretmaker.exe C:\Programme\Opera7\opera.exe C:\Dokumente und Einstellungen\Felix\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - Startup: Secretmaker.lnk = C:\Programme\SECRETMAKER\secretmaker.exe O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37571.5320023148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab ~~~~ Ist da was böses drin? |
|
|
||
24.06.2004, 15:10
Ehrenmitglied
Beiträge: 29434 |
#4
fixe mit dem HijackThis
O2 - BHO: (no name) - {A491D208-B353-490F-B81A-A8A3DC97042D} - "C:\WINDOWS\System32\smiehlp.dll (file missing) neustarten Lade die mwav.exe ...30 Tage free, scanne \alle Dateien\ und poste, ob was gefunden wurde. http://www.mwti.net/antivirus/free_utilities.asp Lade alle Tools von dieser Site http://www.rokop-security.de/main/article.php?sid=703 MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.06.2004 um 15:11 Uhr von Sabina editiert.
|
|
|
||
25.06.2004, 10:57
Member
Themenstarter Beiträge: 13 |
#5
OK Sabrina: Hier das Scanlog:
~~ File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\WINDOWS\system32\ssms.exe infected by "Backdoor.Rbot.l" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Jumper (1).zip\Jumper!\jumper v1.1.exe tagged as not-a-virus:NetTool.Scanner.Tifter. No Action Taken. File C:\Download\Anwendungen\Divx 5.02 pro.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\AVPersonal\INFECTED\A0076413.EXE.VIR infected by "Backdoor.Rirc.b" Virus. Action Taken: File Renamed. File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\Programme\MP3 to WAV Decoder\SaveInstWm.exe tagged as not-a-virus:AdvWare.SaveNow.e. No Action Taken. File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\Programme\WAV to MP3 Encoder\SaveInstWm.exe tagged as not-a-virus:AdvWare.SaveNow.e. No Action Taken. File C:\System Volume Information\_restore{111E4322-0C11-4502-BE8C-DF57292910F0}\RP715\A0089786.exe infected by "Backdoor.Rbot.l" Virus. Action Taken: File Renamed. ~~ Ich habe erstmal alles so gelassen und noch nix gelöscht. ~ Zu den Tools die ich installieren sollte: Die habe ich bis auf AdAware alle schon drauf. AdAware pack ichz jetzt mal drauf. Verträgt sich das mit AntiVir? Oder sollte ich AntiVir wegwerfen und nur noch AdAware nutzen? |
|
|
||
25.06.2004, 12:00
Ehrenmitglied
Beiträge: 29434 |
#6
1. Arbeite alles ab, um das SaveNow zu loeschen
http://sarc.com/avcenter/venc/data/adware.savenow.html Start<Ausfuehren regedit ...loesche rechts, wenn es da ist HKEY_LOCAL_MACHINE\Software\WhenUSave HKCR\WUSN.1 Loeschen C:\WINDOWS\system32\ssms.exe #C:\Programme\WAV to MP3 Encoder\SaveInstWm.exe #C:\Program Files\Save\SaveUninst.exe # Save.exe # Save.html # Readme.txt # SaveUninst.exe #C:\Dokumente und Einstellungen\Felix\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für Jumper (1).zip\Jumper!\jumper v1.1.exe 2.Deinstalliere den Antivir. und lade neu...er ist durch den Backdoor zerstoert http://www.free-av.de/ 3.Lade eine Firewall...Sygate free http://smb.sygate.com/products/spf_standard.htm 4.Lade alle Tools von dieser Site http://www.rokop-security.de/main/article.php?sid=703 5.Deaktiviere die Wiederherstellung...boote und aktiviere wieder. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 6. Dann scanne noch eimal mit der mwav.exe und berichte. Stelle unter InternetOptionen eine Startseite ein und poste das Log noch einmal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.06.2004 um 12:11 Uhr von Sabina editiert.
|
|
|
||
25.06.2004, 13:26
Member
Themenstarter Beiträge: 13 |
#7
Von SaveNow war nix mehr nzu sehen. Das hat wohl SpyBot oder irgendetwas in der Art schon gelöscht.
Jumper1.1 habe ich auch gelöscht. Was war denn damit? Das ist eigentlich ein bekanntes und Funny Old School Jump And Run Spiel. Läuft AntiVir und AdAware zusammen? Oder gibt es da Probs? ~ So ich boote mal neu und scanne nochmal alles durch, dann poste ich hijackthis log und den log von dem mvaw.exe. dankeschön schonmal! [edit] Eine Frage noch: Was hat das BackdoorProgramm mit Antivir gemacht? Ich update Antivir täglich. Ist es dann auch "hin"? Naja, neu installiert habe ich es, macht ja nix, [edit2] So nun mal die Logs: Hoffentlich war es das jetzt 10000 dank für deine Hilfe! Felix ~~ File C:\Download\Anwendungen\Divx 5.02 pro.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Programme\mIRC\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken. File C:\Programme\RealVNC\WinVNC\othread2.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\Programme\RealVNC\WinVNC\winvnc.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-Based.c. No Action Taken. File C:\RECYCLER\S-1-5-21-746137067-1214440339-725345543-1004\Dc7.exe tagged as not-a-virus:NetTool.Scanner.Tifter. No Action Taken. ~~~~ Logfile of HijackThis v1.97.7 Scan saved at 15:07:34, on 25.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate - SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\SECRETMAKER\secretmaker.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\No-IP\DUC20.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\Programme\Opera7\opera.exe C:\Programme\ICQ\Icq.exe C:\Programme\mIRC\mirc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Felix\Desktop\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat Reader 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot O4 - Startup: Secretmaker.lnk = C:\Programme\SECRETMAKER\secretmaker.exe O4 - Global Startup: SECRETMAKER.lnk = C:\Programme\SECRETMAKER\secretmaker.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll O16 - DPF: {27527D31-447B-11D5-A46E-0001023B4289} (CoGSManager Class) - http://gamingzone.ubisoft.com/dev/packages/GSManager.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37571.5320023148 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab Dieser Beitrag wurde am 25.06.2004 um 15:08 Uhr von FelixDamrau editiert.
|
|
|
||
25.06.2004, 15:46
Ehrenmitglied
Beiträge: 29434 |
#8
1. der Antivirus ist <hin<, deinstalliere ihn unbedingt und dann lade ihn neu...der Backdoor hat ihn zerstoert.
2.Leere den Papierkorb 3.Was ist das ??? C:\Programme\RealVNC\WinVNC\ 4. Antivrus und AdAware oder andere Spywarescanner vetragen sich wunderbar...kein Problem... MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 25.06.2004 um 15:47 Uhr von Sabina editiert.
|
|
|
||
25.06.2004, 16:50
Member
Themenstarter Beiträge: 13 |
#9
AntiVir habe ich neu installiert.
Wollte nur wissen was dieses Backdoor Ding da gemacht hat. RealVNC ist ein Programm mit dem ich meinen OC von zu Hause steuern kann. So wie die RemoteDesktopverbindung. Papierkorb ist auch geleert. habe das auch im Log gesehen. dankeschön nochmal! |
|
|
||
26.06.2004, 00:41
Ehrenmitglied
Beiträge: 29434 |
#10
der Backdoor ist auf deinem System spazierengegangen....
Sozusagen ferngesteuert, als waere es sein eigener Comp.... Hoffentlich hast du keine vertraulichen Daten drauf und wenn ja, verschluesselt. Ansonsten ist es kein Problem. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.06.2004, 00:39
Member
Themenstarter Beiträge: 13 |
||
|
||
Ich bekomme ab und zu eMail Viren zugeschickt.
Re: Your details...
oder so in die Topics...
wenn ich diese eMail anklicke, dann kackt mein halbes System ab :/
~
AntiVir findet einen Vorus und poppt dieses "Löschen, Überschrieben, in Quarant. Verz. packen" Fenster auf.
Aber von da an geht NIX mehr. Opera lässt sich nicht mehr beenden, im Antivir Fenster taucht kein Inhalt auf.
Wo dran kann das liegen?
Öffnet Opera alles was es bekommt?? Wie kann ich da was machen?