Home » Viren, Trojaner & Malware Forum » Benötige dringen Hilfe! Habe Bridge.A und Tr Purscan^! » Themenansicht
Benötige dringen Hilfe! Habe Bridge.A und Tr Purscan^! |
||
|---|---|---|
| #0
| ||
|
14.07.2004, 08:41
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
14.07.2004, 10:52
Member
Beiträge: 1095 |
#2
@riobs
Lade dir diese Datei EScan http://www.rokop-security.de/board/index.php?showtopic=3867 Anleitung ausdrucken Update deinen Virenscanner Geh mal in den Abgesicherter Modus von Windows 2000 Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s Starte EScan wie in obiger Anleitung beschrieben Mit deinem Virenscanner ganze Platte scannen Starte normal und poste nochmal das HiJAckThis logfile Gruß paff P.S. Bei Fragen einfach posten  __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
14.07.2004, 17:46
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo Paff,
vielen Dank für Deine Nachricht! Habe Deine Anweisung befolgt. Zunächst fand Escan 8 Viren in meinen Verzeichnissen. Dies war bei der Suche im abgesicherten Modus. Habe dann im normalen Betrieb Hijackthis durchlaufen lassen, die von Dir genannten Einträge gefixed und dann nochmals Escan durchlaufen lassen. Nun fand er nur noch 5 Viren (im normalen Betrieb) Habe mal kopiert was mir Escan als Funde meldet. Vielleicht kannst Du etwas damit anfangen? File C:\WINNT\Temp\~GLBS915.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Administrator\Favoriten\Nemecko - Motorové torpédové cluny - type S 30-37.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\FN4MG596\MediaTicketsInstaller[1].cab tagged as not-a-virus:AdvWare.MediaTickets.b. No Action Taken. (Dies ist der Trojaner TR Purscan den auch das Antivir Programm meldet) Hier die Ergebnisse von Hijackthis: Logfile of HijackThis v1.97.7 Scan saved at 17:40:15, on 14.07.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Antivirus\AVGUARD.EXE C:\Antivirus\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Antivirus\AVGNT.EXE C:\WINNT\system32\wuauclt.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kavss.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Antivirus\AVGNT.EXE /min O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mwavscan.com" /s O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.0847222222 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129 Herzlichen Dank für Deine Hilfe, habe nämlich wirklich keine Ahnung von Computern!  Gruß, Christine |
|
|
|
|
|
|
14.07.2004, 21:48
Member
Beiträge: 1095 |
#4
@riobs
Suche bitte diese Dateien File C:\WINNT\Temp\~GLBS915.EXE File C:\WINNT\_MSRSTRT.EXE File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe und packe Sie in ein zipfile und schick Sie mir an mike_hangover@gozomail.com Pack am besten noch das Logfile des EScan dazu Dann lösche die 3 Dateien Dann lösche die Temporären Internetfiles Internetexplorer/Menu Extras/Internetoptionen/Dateien löschen Dann sollte alles erledigt sein  Danke und Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.07.2004 um 21:50 Uhr von paff editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Habe folgendes Problem. Antivir findet TR Purscan und Bridge auf meinem PC. Daraufhin habe ich in verschiedenen Foren geschaut und die Tips dort befolgt. Habe in der Registry nach Bridge gesucht und die auftauchende Datei gelöscht. Dann habe ich mir a2 und ad-aware runtergeladen. Beide können nichts finden. Wenn ich dann aber Antivir laufen lasse, findet er beide Programme wieder. Leider habe ich überhaupt keine Ahnung von Computern und weiß nicht mehr was ich jetzt machen soll. Habe mir ebenfalls Hijackthis runtergeladen (hatte nämlich gesehen, das das hilfreich sein kann) poste mal hier das logfile:
Logfile of HijackThis v1.97.7
Scan saved at 08:23:45, on 14.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Antivirus\AVGUARD.EXE
C:\Antivirus\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Antivirus\AVGNT.EXE
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\900JHLKT\HijackThis[1].exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.searchgateway.net/search/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchgateway.net/search/%s
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLI~1\BSW4\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\ZONELA~1\ZONEAL~1\Smc.exe -startgui
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Antivirus\AVGNT.EXE /min
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {638AF6A2-81A1-4655-9FFA-9FC09CDE22CF} (CScanner Object) - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37898.0847222222
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{3B1830E1-848C-47A0-ABC3-4583D3C0DAA0}: NameServer = 217.237.151.225 194.25.2.129
Kann mir jemand helfen?
Vielen Dank,
C. R.