.txt-Dateien infiziert? |
||
|---|---|---|
| #0
| ||
|
07.07.2004, 20:08
Member
Beiträge: 31 |
||
 
|
|
|
|
07.07.2004, 22:35
Member
Beiträge: 1095 |
#2
@CNGVR
Geh in den Abgesicherten Modus von XP http://www.bsi.de/av/texte/winsave.htm Fixe bitte folgendes in HiJAckThis O4 - HKLM\..\Run: [rafovphm] C:\WINDOWS\System32\fdfqene.exe O4 - HKLM\..\Run: [paw] C:\WINDOWS\System32\paw.exe O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe Mache normalen neustart Wegen der txt markiere eine .txt Datei Rechtsklick darauf Öffnen mit Programm auswählen Wähle "Editor" aus Kästchen "immer mit diesem Programm öffnen" anhacken Mit OK bestätigen Bitte nochmal Logfile Posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
08.07.2004, 00:33
Member
Themenstarter Beiträge: 31 |
#3
Vielen Dank...
kam bißchen zu spät... sagen wir's so: ich war zu ungeduldig. Habe dies http://board.protecus.de/t10767.htm?highlight=notepad (raman-Beschreibung auf Seite 1) durchgeführt und das mit dem Notepad ist wieder ok. [!!!Insgesamt 19 Viren wurden dort gefunden!!!] die beiden 04er brauchte ich nicht mehr fixen, weil die weg waren.. 016 ntsearch habe ich gefixt auf einmal melden Norton einen Virus! Bloodhound.Exploit oder so, wenn ich mich recht erinnere! Norton konnte keine Änderungen vornehmen neues Problem  Log: Logfile of HijackThis v1.97.7 Scan saved at 00:31:35, on 08.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\NORTON~2\navapw32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe C:\Norton AntiVirus\navapsvc.exe c:\norton antivirus\Norton Utilities\NPROTECT.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE c:\norton antivirus\Speed Disk\nopdb.exe C:\WINDOWS\wanmpsvc.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Virenschutz\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;http=192.168.0.2:6588;https=192.168.0.2:6588;socks=192.168.0.2:1080 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRENS~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\DSL\Zero Knowledge\Freedom\FreeBHOR.dll O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NAV Agent] C:\NORTON~2\navapw32.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [triprxxa] C:\WINDOWS\System32\triprxxa.exe O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: AIM (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38138.2944328704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_5_0.cab O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/webregtest/RegDload.CAB O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab |
|
|
|
|
|
|
08.07.2004, 12:02
Ehrenmitglied
 Beiträge: 29434 |
#4
CNGVR
Fixe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;http=192.168.0.2:6588;https=192.168.0.2:6588;socks=192.168.0.2:1080 O4 - HKLM\..\Run: [triprxxa] C:\WINDOWS\System32\triprxxa.exe neustarten lade mwav.exe und scanne <alle Dateien< http://www.mwti.net/antivirus/free_utilities.asp Dann gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm und mache einen Vollscann mit dem Norton dann poste das Log noch mal. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.07.2004 um 12:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
08.07.2004, 14:18
Member
Beiträge: 1095 |
#5
@CNGVR
Das würde ich nicht fixen besonders wenn du hinter einer Firewall oder eine Proxy sitzt R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;http=192.168.0.2:6588;https=192.168.0.2:6588;socks=192.168.0.2:1080 Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
08.07.2004, 15:17
Ehrenmitglied
Beiträge: 29434 |
#6
@paff
im oberen Thread war noch nichts von einem Proxy zu sehe.....oder @CNGVR hat sich einen zugelegt.  R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx ......................................................................................................... R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.2:21;http=192.168.0.2:6588;https=192.168.0.2:6588;socks=192.168.0.2:1080 MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.07.2004 um 15:19 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
öffnet sich ein Browser Fenster und ruft die Seite casinopalazzo.com auf
Die Textdatei öffnet sich nicht!
Edit:
Log:
Logfile of HijackThis v1.97.7
Scan saved at 20:11:25, on 07.07.2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Norton AntiVirus\navapsvc.exe
c:\norton antivirus\Norton Utilities\NPROTECT.EXE
C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
c:\norton antivirus\Speed Disk\nopdb.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\NORTON~2\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\WINDOWS\System32\fdfqene.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\AOL 8.0\waol.exe
C:\Programme\AOL 8.0\shellmon.exe
C:\ICQ\Icq.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\paw.exe
C:\Virenschutz\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mediamarkt.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\VIRENS~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\DSL\Zero Knowledge\Freedom\FreeBHOR.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NAV Agent] C:\NORTON~2\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [rafovphm] C:\WINDOWS\System32\fdfqene.exe
O4 - HKLM\..\Run: [paw] C:\WINDOWS\System32\paw.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\ICQ\Icq.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: AIM (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://www.ntsearch.com/popengine/POP.CHM::/sp.exe
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28578.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v43/yacscom.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38138.2944328704
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/yiebio5_1_5_0.cab
O16 - DPF: {F5820AD3-9B20-423E-B2AA-7AF2B4055746} (CRegistryDownload Class) - http://download.paltalk.com/webregtest/RegDload.CAB
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab28578.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4383CB2-FA10-4FFE-937B-5AF34B2FF901}: NameServer = 195.93.65.134
PS: Konnte die logFile erst auch nicht öffnen.. Habs dann mit einem html-Editor getan. Bei der "öffnen mit..." Auswahl gesehen, dass statt dem Notepad-Symbol dort ein großes X ist.