Benötige dringen Hilfe! Habe Bridge.A und Tr Purscan^!

#0
14.07.2004, 08:41
...neu hier

Beiträge: 2
#1 Hallo!

Habe folgendes Problem. Antivir findet TR Purscan und Bridge auf meinem PC. Daraufhin habe ich in verschiedenen Foren geschaut und die Tips dort befolgt. Habe in der Registry nach Bridge gesucht und die auftauchende Datei gelöscht. Dann habe ich mir a2 und ad-aware runtergeladen. Beide können nichts finden. Wenn ich dann aber Antivir laufen lasse, findet er beide Programme wieder. Leider habe ich überhaupt keine Ahnung von Computern und weiß nicht mehr was ich jetzt machen soll. Habe mir ebenfalls Hijackthis runtergeladen (hatte nämlich gesehen, das das hilfreich sein kann) poste mal hier das logfile:

Logfile of HijackThis v1.97.7
Scan saved at 08:23:45, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Antivirus\AVGUARD.EXE
C:\Antivirus\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Antivirus\AVGNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\900JHLKT\HijackThis[1].exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLI~1\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\ZONELA~1\ZONEAL~1\Smc.exe -startgui
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Antivirus\AVGNT.EXE /min
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.0847222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129

Kann mir jemand helfen?

Vielen Dank,

C. R.
Seitenanfang Seitenende
14.07.2004, 10:52
Member

Beiträge: 1095
#2 @riobs

Lade dir diese Datei EScan
http://www.rokop-security.de/board/index.php?showtopic=3867
Anleitung ausdrucken

Update deinen Virenscanner

Geh mal in den Abgesicherter Modus von Windows 2000

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s

Starte EScan wie in obiger Anleitung beschrieben

Mit deinem Virenscanner ganze Platte scannen

Starte normal und poste nochmal das HiJAckThis logfile

Gruß paff
P.S. Bei Fragen einfach posten ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
14.07.2004, 17:46
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Paff,

vielen Dank für Deine Nachricht! Habe Deine Anweisung befolgt. Zunächst fand Escan 8 Viren in meinen Verzeichnissen. Dies war bei der Suche im abgesicherten Modus. Habe dann im normalen Betrieb Hijackthis durchlaufen lassen, die von Dir genannten Einträge gefixed und dann nochmals Escan durchlaufen lassen. Nun fand er nur noch 5 Viren (im normalen Betrieb)
Habe mal kopiert was mir Escan als Funde meldet. Vielleicht kannst Du etwas damit anfangen?

File C:\WINNT\Temp\~GLBS915.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Administrator\Favoriten\Nemecko - Motorové torpédové cluny - type S 30-37.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FN4MG596\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.b. No Action Taken. (Dies ist der Trojaner TR Purscan den auch das Antivir Programm meldet)

Hier die Ergebnisse von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 17:40:15, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Antivirus\AVGUARD.EXE
C:\Antivirus\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Antivirus\AVGNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Antivirus\AVGNT.EXE /min
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.0847222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129

Herzlichen Dank für Deine Hilfe, habe nämlich wirklich keine Ahnung von Computern! ;)

Gruß,

Christine
Seitenanfang Seitenende
14.07.2004, 21:48
Member

Beiträge: 1095
#4 @riobs

Suche bitte diese Dateien
File C:\WINNT\Temp\~GLBS915.EXE
File C:\WINNT\_MSRSTRT.EXE
File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe
und packe Sie in ein zipfile und schick Sie mir an mike_hangover@gozomail.com
Pack am besten noch das Logfile des EScan dazu ;)

Dann lösche die 3 Dateien
Dann lösche die Temporären Internetfiles
Internetexplorer/Menu Extras/Internetoptionen/Dateien löschen

Dann sollte alles erledigt sein :yo

Danke und Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 14.07.2004 um 21:50 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: