Wie kann ich 1824010[1].cab und ieloader[1].cab löschen?

#0
03.08.2004, 09:36
Member

Beiträge: 21
#1 Hi@all!

Ihr seid meine letzte Chance!
Ich habe auf meinem Rechner 2 Viren drauf, wovon mehrere Dateien infiziert sind, ich kann jedoch weder reparieren, noch die Viren löschen oder ins Quarantäneverzeichnis schieben. Es geht nichts!!

Ich benutze das Antivire Programm Antivir (Guard) und lasse es jeden Tag durchlaufen. Seit ca 2 Monaten habe ich den ieloader drauf, seit heute auch noch den 1824010[1].cab.

Ich wäre Euch sehr dankbar, wenn mir jemand sagen kann, wie ich die beiden Viren loswerde!!!

(Bitte leicht verständlich erklären- bin blond :p )


Gruß


~Angel~
__________
Bei Missverständnissen, die aus Unverständniss gegenüber Ironie rühren, wird keine Gewährleistung gegeben. Der Rechtsweg ist ausgeschlossen. :p
Seitenanfang Seitenende
03.08.2004, 10:34
Member

Beiträge: 1095
#2 Hi Angelyria

und willkommen am/im Board

Um die 2 cab's zu löschen, einfach die temporären Internetfiles löschen
Internet Explorer öffnen
Menu Extras
Internetoptionen wählen
"Dateien löschen..." anklicken.
erledigt.

Dann sollest du zur Sicherheit noch das HiJackThis Logfile posten
Anleitung:
http://hjt.klaffke.de/

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.08.2004, 12:02
Member

Themenstarter

Beiträge: 21
#3 Ich hoffe das ist so richtig:

Ich kopier es einfach mal hier rein:


Logfile of HijackThis v1.98.0
Scan saved at 12:02:48, on 03.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\ScanPanel\ScnPanel.exe
C:\Programme\Date Manager\DateManager.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ICQ\Icq.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://box.redirectme.net/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.1629.0\de\msntb.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_19_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows Service] c:\windows\service.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O4 - Global Startup: Date Manager.lnk = C:\Programme\Date Manager\DateManager.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Sidesearch - {000007C6-17DF-4438-92A4-DE5537471BA3} - C:\Programme\Lycos\Sidesearch\sidesearch.dll
O9 - Extra button: Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra 'Tools' menuitem: VisualRoute Trace - {04849C74-016E-4a43-8AA5-1F01DE57F4A1} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O9 - Extra 'Tools' menuitem: LingoWare Translator... - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Programme\LingoCom\Translator.lnk
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1824010.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {63CC1949-2404-471B-8A77-85D88F59ACC7} (UltraCams Client Panel Control) - http://venuscams.ultracams.de/de/cams/UltraCamsClient11.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://god.t-online.de/godcheck/CLASSES/ExentCtl.ocx
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.com/housecall/Xscan53.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {86A88967-7A20-11D2-8EDA-00600818EDB1} (ParallelGraphics Cortona Control) - http://www.parallelgraphics.com/bin/cortvrml.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://216.133.83.162/downloads/UGO20.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9FE5659-77D4-4BAB-B100-FC378E39B24D}: NameServer = 217.237.151.97 194.25.2.129



tempräre Files habe ich gelöscht!


~auf Antwort wartend~

Gruß


Habe das Antivir nu wieder laufen und er findet immernoch beide ;)
__________
Bei Missverständnissen, die aus Unverständniss gegenüber Ironie rühren, wird keine Gewährleistung gegeben. Der Rechtsweg ist ausgeschlossen. :p
Dieser Beitrag wurde am 03.08.2004 um 12:13 Uhr von Angelyria editiert.
Seitenanfang Seitenende
03.08.2004, 12:34
Member

Beiträge: 1095
#4 @Angelyria

Ok du hast da ein haufen Zeug drauf das da nicht hingehört.

1. Poste mal den genauen Pfad an dem die cab-Dateien liegen
WICHTIG!!!
Notfalls ins logfile von Antivir schauen.

2. Deinstallieren von newdotnet
http://www.newdotnet.com/ (ganz nach unten scrollen)
Einfach unter Systemsteuerung Software schauen, ob dort eine Software namens NewDotNet, zu sehen ist. Diese deinstallieren.

3. Deinen Virenscanner updaten!!!!!!!!!!!!!!!!!!

4. Dann Geh in den Abgesicherten Modus von XP

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!

5. Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll
O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O4 - HKLM\..\Run: [Windows Service] c:\windows\service.exe
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {1230CB21-C88D-11CF-B347-000000000000} - http://www.eingang69.de/EroticAccess/Cabs/1824010.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {63CC1949-2404-471B-8A77-85D88F59ACC7} (UltraCams Client Panel Control) - http://venuscams.ultracams.de/de/cams/UltraCamsClient11.cab
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.143/code/PWActiveXImgCtl.CAB
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {E9041F85-3C18-4A7E-A29D-E24F84B79BF1} - http://216.133.83.162/downloads/UGO20.exe

Diese Datei löschen
c:\windows\service.exe

Mit deinem Virenscanner die ganze Festplattte scannen
Das dauert ein weilchen!!!!

Normalen Neustart machen

Dann dieses hier durchführen
http://www.rokop-security.de/main/article.php?sid=703
Alle Programme installieren, updaten und laufenlassen.

Dann nochmal neustart machen und nochmal das Logfile posten.
Gruß paff
P.S.
Ich weiß das sieht jetzt viel aus ;)
Aber einfach der Reihe nach durchmachen. Notfalls Anleitung ausdrucken.
Wenn Fragen sind, einfach posten ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 03.08.2004 um 12:40 Uhr von paff editiert.
Seitenanfang Seitenende
03.08.2004, 14:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Angelyria

Bevor du alles ausfuehrst , lade LSP.fix.exe
http://www.cexx.org/lspfix.htm
und loesche die dll, welche auf New.Net verweist....das ist ein Winsockvirus und wenn man das nicht ordnungsgemaess repariert, kommst du eventuell nicht mehr ins Net.


fixe dann noch zusaetzlich:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: Sidesearch BHO - {00000762-3965-4A1A-98CE-3D4BF457D4C8} - C:\Programme\Lycos\Sidesearch\sidesearch.dll

fixe auch das, damit es aus dem Autostart kommt...traegt sich bei Anwendung wieder ein.
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize


neustarten

Wenn du dann die ganzen Tools abgearbeitet hast, loesche unter <InternetOptionen< die TemporaryInternetfiles.

Dann poste das Log (gereinigt) noch mal.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.08.2004 um 14:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.08.2004, 14:35
Member

Beiträge: 1095
#6

Zitat

Sabina postete
fixe dann noch zusaetzlich:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
@Sabina
Was hast du gegen Yahoo ??????????????????

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.08.2004, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 siehst du nicht das sp\Sternchen....????und hast du das mal angeklickt ?
Gruss
Sabina
;)
http://www.pestpatrol.com/PestInfo/l/lycos_sidesearch.asp
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.08.2004 um 14:38 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.08.2004, 14:40
Member

Beiträge: 1095
#8

Zitat

Sabina postete
siehst du nicht das sp\Sternchen....????und hast du das mal angeklickt ?
Gruss
Sabina
;)
http://www.pestpatrol.com/PestInfo/l/lycos_sidesearch.asp
Kannst den Thread haben
Viel Spass
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.08.2004, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo @Paff
Der Thread ist deiner ;), habe nur noch ein bisschen meinen Senf dazu gegeben.
Vorrangig wegen dem WinsockVirus.
Ich habe da mal ne schlechte Erfahrung gemacht.....................Die Dame war sehr wuetend, als sie nicht mehr ins Net kam...........
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.08.2004 um 14:43 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.08.2004, 16:28
Member

Themenstarter

Beiträge: 21
#10 @paff und sabina:

was meint ihr mit "fixen"? wenn ich die links anklicke, kommen nur die seiten von yahoo.


bitte schnelle antwort, weil will weitermachen :p


ps: danke schonmal im vorraus für eure hilfe!
__________
Bei Missverständnissen, die aus Unverständniss gegenüber Ironie rühren, wird keine Gewährleistung gegeben. Der Rechtsweg ist ausgeschlossen. :p
Seitenanfang Seitenende
03.08.2004, 16:36
Member

Beiträge: 1095
#11 @Angelyria

Vergiss das ganze Gebabbel daoben.
Lade dir zur Sicherheit die von Sabina empfohlene Datei
http://www.cexx.org/lspfix.htm

Dann mach einfach das was ich gepostet habe. ;)
Die anderen Sachen kann man danach noch machen.

Also Viel Spass ;)
Gruß paff
P.S.
Könntest du mir bitte diese Dateien schicken wenn du fertig bist
C:\windows\system32\service.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Bitte zippen und an
mike_hangover@gozomail.com (Meine FakeEMail) schicken DANKE ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.08.2004, 16:40
Moderator

Beiträge: 7805
#12 Da wir ja nun alle unseren Senf dazugeben!;)

Kleine Begriffserklaerung: Wenn ihr euer Log ins Forum einstellt und euch empfohlen wird etwas zu "fixen", bedeutet dies nur, das ihr die Eintraege die euch genannt wurden, markieren/anhaken) sollt und "fix checked" druecken muest. Danach bitte einen Neustarte des Rechners machen.

Yahoo ist schon in Ordnung, wenn du es nutzt, sonst ist es nur Ballast.

Denke bitte daran, wie oben schon angegeben, ein neues Log mit Hijackthis 1.98.1 zu posten, wenn du alles abgearbeitet hast.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
03.08.2004, 16:41
Member

Themenstarter

Beiträge: 21
#13 Ja aber wie fixe ich das da rein? ich kann nur die dinger die drin sind removen. aber nix reintun ;)

Achja: hier ist der Log vom Antivir den ich eben gemacht habe:



Erstellungsdatum der Reportdatei: 03.08.2004 16:24

AntiVir®/XP (2000 + NT) Personal Edition v6.26.00.01 vom 06.07.2004
VDF-Datei v6.26.0.57 (0) vom 03.08.2004


Dieses Programm ist nur für den PRIVATEN EINSATZ bestimmt.
Jede andere Verwendung ist NICHT gestattet.
Informationen über kommerzielle Versionen von AntiVir erhalten Sie bei:
www.antivir.de.


Es wird nach 88380 Viren bzw. unerwünschten Programmen gesucht.

Lizenznehmer: AntiVir Personal Edition
Seriennummer: 0000149996-ADJIE-0001
FUSE: Grundlizenz

Bitte tragen Sie in dieses Formular den Rechnerstandort und
den zuständigen Ansprechpartner mit Telefonnummer ein:

Name ___________________________________________

Straße ___________________________________________

PLZ/Ort ___________________________________________

Telefon/Fax ___________________________________________

EMail ___________________________________________

Plattform: Windows NT Workstation
Windows-Version: 5.1 Build 2600 (Service Pack 1)
Benutzername: pc
Prozessor: Pentium
Arbeitsspeicher: 523760 KB frei

Versionsinformationen:
AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54
AVEWIN32.DLL : v6.26.0.10 430592 22.07.2004 06:25:52
AVGNT.EXE : v6.26.00.08 122920 07.07.2004 11:37:58
AVGUARD.EXE : v6.26.00.10 233512 06.07.2004 11:35:16
GUARDMSG.DLL : v6.26.00.03 98344 26.05.2004 12:33:26
AVGCMSG.DLL : v6.26.00.00 249896 26.05.2004 13:55:12
AVGNTDD.SYS : v6.26.00.07 34016 25.05.2004 18:35:04
AVPACK32.DLL : v6.22.00.24 299048 09.06.2004 16:05:52
AVGETVER.DLL : v6.22.00.00 24576 04.12.2003 11:20:14
AVWIN.DLL : v6.26.01.01 507944 06.07.2004 14:42:54
AVSHLEXT.DLL : v6.22.00.00 57344 04.12.2003 11:20:14
AVSched32.EXE : v6.23.00.00 110632 20.01.2004 14:13:58
AVSched32.DLL : v6.23.00.00 122880 20.01.2004 14:14:00
AVREG.DLL : v6.22.00.00 41000 04.12.2003 11:20:14
AVRep.DLL : v6.26.00.10 516136 03.08.2004 09:04:52
INETUPD.EXE : v6.26.00.01 200704 27.05.2004 12:50:44
INETUPD.DLL : v6.26.00.01 147456 27.05.2004 12:50:44
CTL3D32.DLL : v2.31.000 27136 02.04.2003 12:00:00
MFC42.DLL : v6.00.8665.0 995383 02.04.2003 12:00:00
MSVCRT.DLL : v7.0.2600.1106 (xpsp1.020828-1920
MSVCRT.DLL : v7.0.2600.1106 323072 02.04.2003 12:00:00
CTL3DV2.DLL : v2.31.000 27632 14.07.1995 02:43:30

Konfigurationsdaten:

Name der Konfigurationsdatei: C:\Programme\AVPersonal\AVWIN.INI
Name der Reportdatei: C:\Programme\AVPersonal\LOGFILES\AVWIN.LOG
Startpfad: C:\Programme\AVPersonal
Kommandozeile:
Startmodus: unbekannt

Modus der Reportdatei:
[ ] Kein Report erstellen
[X] Report überschreiben
[ ] Neuen Report anhängen

Daten in Reportdatei:
[X] Infizierte Dateien
[ ] Infizierte Dateien mit Pfaden
[ ] Alle durchsuchten Dateien
[ ] Komplette Information

Reportdatei kürzen:
[ ] Reportdatei kürzen

Warnungen im Report:
[X] Zugriffsfehler/Datei gesperrt
[X] Falsche Dateigröße im Verzeichnis
[X] Falsche Erstellungszeit im Verzeichnis
[ ] COM-Datei zu groß
[X] Ungültige Startadresse
[X] Ungültiger EXE-Header
[X] Möglicherweise beschädigt

Kurzreport:
[X] Kurzreport erstellen
Ausgabedatei: AVWIN.ACT
Maximale Anzahl Einträge: 100

Wo zu suchen ist:
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[ ] Alle Dateien
[X] Programmdateien
Endungen: .386 .ACM .ADE .ADP .APP .ASD .ASF .ASP .ASX .AWX .AX .BAS .BAT .BIN .BOO .CDF .CHM .CLASS .CMD .CNV .COM .CPL .CRT .CSH .DLL .DLO .DO? .DRV .EML .EXE* .FLT .FOT .HLP .HT* .INF .INI .INS .ISP .JS* .JSE .LNK .MD? .MDB .MOD .MS? .NWS .OBJ .OCX .OLB .OSD .OV? .PCD .PDR .PGM .PIF .PKG .POT .PPS .PPT .PRG .RAR .REG .RPL .RTF .SBF .SCR .SCRIPT .SCT .SH .SHA .SHB .SHS .SHTM* .SPL .SWF .SYS .TLB .TMP .TSP .TTF .URL .VB? .VCS .VLM .VXD .VXO .WIZ .WLL .WMD .WMS .WMZ .WPC .WSC .WSF .WSH .WWK .XL? .XML .ZIP

Reaktion bei Fund:
[X] Reparieren mit Rückfrage
[ ] Reparieren ohne Rückfrage
[ ] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Nur in Logdatei aufzeichnen
[X] Akustische Warnung

Reaktion bei defekten Dateien:
[X] Löschen mit Rückfrage
[ ] Löschen ohne Rückfrage
[ ] Ignorieren

Reaktion bei defekten Dateien:
[X] Nicht verändern
[ ] Aktuelle Systemzeit
[ ] Datum korrigieren

Drag&Drop-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Profil-Einstellungen:
[X] Unterverzeichnisse durchsuchen

Einstellungen der Archive
[X] Archive durchsuchen
[X] Alle Archive-Typen

Diverse Optionen:
Temporärer Pfad: %TEMP% -> C:\DOKUME~1\pc\LOKALE~1\Temp
[X] Virulente Dateien überschreiben
[ ] Leerlaufzeit entdecken
[X] Stoppen der Prüfung zulassen
[X] AVWin®/NT Guard beim Systemstart laden

Allgemeine Einstellungen:
[X] Einstellungen beim Beenden speichern
Priorität: mittel

Laufwerke:
A: Diskettenlaufwerk
C: Festplatte
D: Festplatte
E: CDRom
F: CDRom

Start des Suchlaufs: 03.08.2004 16:24

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK
Bootsektor von Laufwerk D: OK


C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Downloaded Program Files
ActiveSecurity.ocx
Die Datei enthält Signatur des PMS/Tool.Collectr.2-Programmes und wurde vom Benutzer unterdrückt.
ActiveSecurity.INF
Die Datei enthält Signatur des PMS/Tool.Collectr.1-Programmes und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
BDEProjector31.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector32.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonName.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector33.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector34.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector35.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector36.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector37.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector38.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector39.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector40.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector41.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector42.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonName1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector43.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector44.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector45.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector46.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector47.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector48.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PromulGate.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DoubleClick.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
PromulGate1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DownloadWare4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WebDialer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Hackerag.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
SaveNow10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommissionJunction1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Hackerag1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
HitBox1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Advertisingcom1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Newnet7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector10.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector11.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector12.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector13.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector14.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector15.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector16.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector17.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector18.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector19.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector20.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector21.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector22.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector23.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector24.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector25.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector26.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector27.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector28.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector29.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
BDEProjector30.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\pc\Eigene Dateien\Stephi\Spiele
Langeweile.exe
Die Datei enthält Signatur des Scherzprogrammes Joke/Brod.A und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4L72Z6B8
ieloader[1].cab
ArchiveType: CAB (Microsoft)
--> ieloader.dll
[FUND!] Ist das Trojanische Pferd TR/Ladder
C:\Dokumente und Einstellungen\Günther.PC-MT842W3PAPXY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JJ9JVHSW
1824010[1].cab
ArchiveType: CAB (Microsoft)
--> ContentBrowser.exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300866 (Dialer)
C:\Programme\WinRAR
rarnew.dat
ArchiveType: RAR
HINWEIS! Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\games\deusexe
install.dat
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt


Fehler beim Wechsel in das Verzeichnis System Volume Information



Ende des Suchlaufs: 03.08.2004 16:42
Benötigte Zeit: 17:56 min


8064 Verzeichnisse wurden durchsucht
62174 Dateien wurden geprüft
6 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Viren bzw. unerwünschte Programme wurden gefunden






Ich weiß nicht was Daraus du nun genau suchst ;)
__________
Bei Missverständnissen, die aus Unverständniss gegenüber Ironie rühren, wird keine Gewährleistung gegeben. Der Rechtsweg ist ausgeschlossen. :p
Dieser Beitrag wurde am 03.08.2004 um 16:42 Uhr von Angelyria editiert.
Seitenanfang Seitenende
03.08.2004, 17:01
Member

Beiträge: 1095
#14 @Angelyria

Du sollest die Pfade suchen der cab dateien nicht das ganze Log posten ;)

Das hier wollte ich !

Zitat

Die Datei enthält Signatur des Scherzprogrammes Joke/Brod.A und wurde vom Benutzer unterdrückt.
C:\Dokumente und Einstellungen\Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4L72Z6B8
ieloader[1].cab
ArchiveType: CAB (Microsoft)
--> ieloader.dll
[FUND!] Ist das Trojanische Pferd TR/Ladder
C:\Dokumente und Einstellungen\Günther.PC-MT842W3PAPXY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JJ9JVHSW
1824010[1].cab
ArchiveType: CAB (Microsoft)
--> ContentBrowser.exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300866 (Dialer)
Also es gibt auf deinem Rechner einen Benutzer "Benjamin"
Bei diesem die Temp-Internetfiles löschen

Dasselbe für den Benutzer "Günther.PC-MT842W3PAPXY"

Dann sind die Cab-Dateien weg.

Dann noch das obige machen ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
03.08.2004, 17:18
Member

Themenstarter

Beiträge: 21
#15 Das obige habe ich nun durch. Virusprogramm läuft gerade durch.

Also bei den beiden Benutzern einloggen und dort auch die Temporary Files löschen? Reichts nich bei mir?


Gruß

die Lyria


achja nochwas: Folgende waren bei dem HiJackThis nicht zum auswählen enthalten:


O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_30.dll

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s

O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net



uuuuuund der virenscanner findet immernoch folgendes:

--> ieloader.dll
[FUND!] Ist das Trojanische Pferd TR/Ladder
C:\Dokumente und Einstellungen\Benjamin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ERI7UXI3
au_all[1].cab
ArchiveType: CAB (Microsoft)
--> au_util.dll
HINWEIS! Der Archivheader ist defekt
--> tbdwnmgr.dll
HINWEIS! Der Archivheader ist defekt
--> au_setup.dll
HINWEIS! Der Archivheader ist defekt
--> unicows.dll
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\Günther.PC-MT842W3PAPXY\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JJ9JVHSW
1824010[1].cab
ArchiveType: CAB (Microsoft)
--> ContentBrowser.exe
[FUND!] Enthält Signatur eines kostenverursachenden Einwahlprogrammes DIAL/300866 (Dialer)



18:20


Bei Verdacht eines Befalls durch solche Art Plagegeister sollte man also (in dieser Reihenfolge) folgendermaßen vorgehen:


Zuerst sollte man im Internet Explorer unter Extras/Internetoptionen/Sicherheit/Internet alle Optionen zu ActiveX-Steuerelementen deaktivieren. Tip zur Konfiguration des Internet Explorers hier.


Das Anti Spyware Tool Ad-aware 6 von der Herstellerseite herunterladen und installieren. Nach der Installation sollte man erst einmal ein Update durchführen und den Computer scannen. Vom Programm gefundene Dateien sollte man anschließend gleich entfernen lassen.


Anschließend das Programm Spybot-Search &Destroy 1.3 herunterladen, ebenfalls updaten und das System überprüfen und bei Bedarf die gefundenen Einträge entfernen lassen. Außerdem kann man bei diesem Programm eine Immunisierungsfunktion nutzen, damit sich gewisse Schädlinge erst gar nicht (mehr) einnisten können.


Nachdem dieses erfolgt ist, gehen wir den eigentlichen Übeltätern an den Kragen, indem wir hier die neuste Version des CWS Shredders herunterladen und das System damit überprüfen lassen. Achtung, dieses Programm wird sehr oft auf den neusten Stand gebracht, also immer die neuste Version verwenden.


Sollten nach dem Einsatz obiger Programme immer noch Probleme auftreten, sollte noch ein Scan mit eScan durchgefuehrt werden.


Außerdem sollte man noch das Programm HiJack This herunterladen und damit eine Logdatei erstellen. Eine bebilderte Anleitung findet Ihr hier. Nicht benötigte Programme (Browser, Office etc.) sollten vor der Erstellung des Logs geschlossen werden. Dieses sollte man dann in unserem Forum veröffentlichen, damit wir uns die verbliebenen Einträge nochmals anschauen können.
Denn oftmals sind noch schädliche Rückstände, undefinierbare Dateien oder Viren auf dem PC vorhanden. Diese lassen sich dann damit meist schnell herausfiltern.


Zum Schluß sollte man sicherstellen, dass sich das verwendete Betriebssystem auf dem neusten Stand befindet, indem man alle nötigen Windowsupdates einspielt. Aber bitte daran denken, diese Seite benötigt für automatische Updates ein aktiviertes ActiveX. Also für das Update die Restriktionen des Internet Explorers lockern oder die Microsoft Update Seite in den Sicherheitseinstellungen als vertrauenswürdig einstufen.



das habe ich nun auch alles gemacht. alles tutti kompletti.... drückt mir die daumen!!!
__________
Bei Missverständnissen, die aus Unverständniss gegenüber Ironie rühren, wird keine Gewährleistung gegeben. Der Rechtsweg ist ausgeschlossen. :p
Dieser Beitrag wurde am 03.08.2004 um 18:19 Uhr von Angelyria editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: