Virus,Trojaner,Dialer,Wurm *HILFE*

#0
07.08.2004, 17:19
...neu hier

Beiträge: 7
#1 Mein COmputer ist voll mit dem ganzen Müll AntiVir findet nix, meine Firewall läuft auf hochturen meldet ständig zugriffe winudpt svchoost Lsass usw.. habe adaware lufen lassen 40 infektionen alle gelöscht habe jetzt auch die Systemwiederherstellung aus gemacht weil bei jedem neustart die ganze kacke wieder drauf ist habe jetzt wieder alles scannen lassen. log file erstellt von hijackthis:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\System32\winmanagers.exe
C:\WINDOWS\TEMP\36.tmp.exe
C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\WINDOWS\System32\winupdt.exe
C:\1182.exe
C:\Treiber\HijackThis1981.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4B9775F8-9F59-4804-A17E-4645E37D9E0F} - C:\WINDOWS\System32\idlng.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\symyaeyl.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xobbu.exe
O4 - HKLM\..\Run: [D2026F38] C:\WINDOWS\System32\qzkegfq.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\WINDOWS\TEMP\36.tmp.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [E20FA009] C:\WINDOWS\System32\qzkegfq.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1392870-3C74-4500-B11C-B567196F690F}: NameServer = 195.50.140.250 145.253.2.174
O18 - Filter: text/html - {7563A110-AB07-4167-A899-1F02DE6041CC} - C:\WINDOWS\System32\idlng.dll
O18 - Filter: text/plain - {7563A110-AB07-4167-A899-1F02DE6041CC} - C:\WINDOWS\System32\idlng.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plnbep32.dll (file missing)

habe Windows XP inet explorer 6 sp1
hoffe mir kann einer weiter helfen
Seitenanfang Seitenende
07.08.2004, 19:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 @Daniele22

Denke bitte ueber eine Neuinstalation nach.......
Wenn du dennoch die Reinigung versuchen willst...
fixe mit dem HijackThis

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\Daniel\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {4B9775F8-9F59-4804-A17E-4645E37D9E0F} - C:\WINDOWS\System32\idlng.dll (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\symyaeyl.exe
O4 - HKLM\..\Run: [System Update] C:\WINDOWS\System32\xobbu.exe
O4 - HKLM\..\Run: [D2026F38] C:\WINDOWS\System32\qzkegfq.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\Run: [Microsoft Restore] scrgrd.exe
O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\WINDOWS\TEMP\36.tmp.exe
O4 - HKLM\..\RunServices: [Msbb.exe] Msbb.exe
O4 - HKLM\..\RunServices: [E20FA009] C:\WINDOWS\System32\qzkegfq.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunServices: [Msn Updaters] winmanagers.exe
O4 - HKLM\..\RunServices: [Microsoft Restore] scrgrd.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Msn Updaters] winmanagers.exe
O4 - HKCU\..\Run: [Microsoft Restore] scrgrd.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O18 - Filter: text/html - {7563A110-AB07-4167-A899-1F02DE6041CC} - C:\WINDOWS\System32\idlng.dll
O18 - Filter: text/plain - {7563A110-AB07-4167-A899-1F02DE6041CC} - C:\WINDOWS\System32\idlng.dll
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Plnbep32.dll (file missing)


neustarten

#Lade den Stinger
http://vil.nai.com/vil/stinger/

#lade mwav.exe und scanne <alle Datein
http://www.mwti.net/antivirus/free_utilities.asp

#Gehe in die Registry
Start<Ausfuehren<regedit
loesche auf der rechten Seite der Registry
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
<{79FEACFF-FFCE-815E-A900-316290B5B738}<
schliesse die Registry

#Loesche manuell
C:\WINDOWS\System32\Plnbep32.dll
C:\WINDOWS\System32\idlng.dll

falls es noch vorhanden ist....auch loeschen
C:\WINDOWS\System32\Msbb.exe
C:\WINDOWS\System32\xobbu.exe
C:\WINDOWS\TEMP\36.tmp.exe
C:\WINDOWS\System32\symyaeyl.exe
C:\WINDOWS\System32\qzkegfq.exe


#Lade Sphjfix
http://www.rokop-security.de/main/article.php?sid=746

Dieses Tool ist kostenfrei und kann unter http://www.adwareaway.com/ heruntergeladen werden.
1. Downloaden
2. Installieren und Starten
3. Links in der Menüführung in der Rubrik "Specialized Remover" den Eintrag "Hijacker Away" markieren
4. Rechts im Übersichtsfenster "Ssearch.biz" ..und alle anderen....markieren
5. Icon mit dem "Besen" unten ganz rechts anklicken
6. Dauert ein paar Sekündchen
7. Rechner neu Booten

#Loesche unter <Internetoptionen die TemporaryInternetfiles und stelle eine neue Startseite ein.

...........................................................................................................................
tip: Deinstalliere BitDefender Free Edition und lade Antivirus
http://www.free-av.de/
Nach dem Installationsscann stelle im Scanner und im Guard ein:
<alle Dateien <
<Heuristic:mittel
<Guard aktivieren

#Lade eine Firewall, falls du keinen Router hast
http://smb.sygate.com/products/spf_standard.htm
Fuehre dann alle Scanns durch:
http://scan.sygatetech.com/

#Surfe nur mit dem Firefox...ist sicherer
http://www.firebird-browser.de/

#Lade TuneUp 2004 (30 Tage free) und checke den Compi.
http://www.tuneup.de/download/

Dann poste das Log noch mal.(aber bitte mit dem IE, nicht mit dem Firefox)

mfg
Sabina

http://securityresponse.symantec.com/avcenter/venc/data/w32.lemoor.a.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.08.2004 um 20:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 14:17
...neu hier

Themenstarter

Beiträge: 7
#3 Ich danke dir für deine Hilfe erstmal, so habe alles gemacht wie du gesagt hast leider habe ich noch in den archiven trojanische pferde und die kann ich nicht löschen .cab dateien hier der report:

C:\WINDOWS
nem219.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.Delf.BV.3
Konnte nicht gelöscht werden!
alchem.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
WURDE GELÖSCHT!
preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
C:\WINDOWS\system32
busxtmpu.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config
DEFAULT
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SOFTWARE
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SYSTEM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y8TI5OSL
bridge[1].cab
ArchiveType: CAB (Microsoft)
--> bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MO27FO6W
MediaTicketsInstaller[1].cab
ArchiveType: CAB (Microsoft)
--> MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OF7XN6FF
winhttp[1].cab
ArchiveType: CAB (Microsoft)
--> winhttp.inf
HINWEIS! Der Archivheader ist defekt
--> winhttp.dll
HINWEIS! Der Archivheader ist defekt
C:\WINDOWS\Temp
36.tmp.exe
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\Downloaded Program Files
bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
WURDE GELÖSCHT!
MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2
WURDE GELÖSCHT!
C:\WINDOWS\Downloaded Program Files\CONFLICT.1
bridge.dll
[FUND!] Enthält Signatur des Droppers DR/Bridge.A.2
Konnte nicht gelöscht werden!
MediaTicketsInstaller.ocx
[FUND!] Ist das Trojanische Pferd TR/Dldr.PurityS.E.2
WURDE GELÖSCHT!

Ende des Suchlaufs: 08.08.2004 14:09
Benötigte Zeit: 07:23 min


373 Verzeichnisse wurden durchsucht
9623 Dateien wurden geprüft
9 Warnungen wurden ausgegeben
4 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
8 Viren bzw. unerwünschte Programme wurden gefunden

Ach ja und die sygate Firewall hatte ich schon vorher drauf nur leider hatte ich probleme beim online spielen wegen dem port 6112. ich sende nach einem neustart die hijackthis oder wie die heißt.
Seitenanfang Seitenende
08.08.2004, 14:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 #Lade AdAware free
http://www.lavasoft.de/support/download/
#Lade Spybot
http://www.safer-networking.org/de/download/index.html
Lade ClearProg und
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
http://www.clearprog.de/

............................................................................................................

#gehe in den abgesicherten Modus
und loesche....falls es noch da ist....;)eventuell mit Rechtsklick den Schreibschutz aufheben)
C:\WINDOWS\nem219.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\bridge.dll

Loesche diese Temporary Internetfiles
#C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MO27FO6W\ MediaTicketsInstaller[1].cab
#C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OF7XN6FF
winhttp[1].cab
#C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y8TI5OSL
bridge[1].cab

normalstarten

#lade mwav.exe und scanne <alle Dateien < und <alle Folder<
http://www.mwti.net/antivirus/free_utilities.asp
Poste bitte, was dieser Scanner unter <VirusInformation< angibt.

Dann poste das Log noch einmal.(und die Infos von mwav.exe)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 14:56 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 16:38
...neu hier

Themenstarter

Beiträge: 7
#5 Bei der Firewall, was soll ich ich blocken und was erlauben dies werde ich immer gefragt:NT kernel und System,Internet Informationsdienste,ms dtc console program,apllication gateway layer[geblockt],LSA Shell (exportversion),Genric Host process,TCP/ip service,snmp dienste,message queing service,NDIS user mode driver,SVCHOOST,WINUDPT,LSASS. weiß nicht was ich da erlauben oder blockieren soll.
Die Log datei is zu gross um sie hier zu posten

Sun Aug 08 16:32:51 2004 => Total Number of Files Scanned: 82287
Sun Aug 08 16:32:51 2004 => Total Number of Virus(es) Found: 110
Sun Aug 08 16:32:51 2004 => Total Number of Disinfected Files: 0
Sun Aug 08 16:32:51 2004 => Total Number of Files Renamed: 49
Sun Aug 08 16:32:51 2004 => Total Number of Deleted Files: 58
Sun Aug 08 16:32:51 2004 => Total Number of Errors: 99
Sun Aug 08 16:32:51 2004 => Time Elapsed: 01:10:17
Sun Aug 08 16:32:51 2004 => Virus Database Date: 2004/08/02
Sun Aug 08 16:32:51 2004 => Virus Database Count: 99087

Sun Aug 08 16:32:51 2004 => Scan Completed.

Das letzte stück der log
Seitenanfang Seitenende
08.08.2004, 17:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Wenn du alles abgearbeitet hat, poste das Log vom HijackThis.

#und poste, was die Tests ergeben haben:
Fuehre alle Scanns durch:
http://scan.sygatetech.com/

Inzwischen mache ich mich ueber den Firewall schlau.
Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 17:34 Uhr von Sabina editiert.
Seitenanfang Seitenende
08.08.2004, 18:34
...neu hier

Themenstarter

Beiträge: 7
#7 Logfile of HijackThis v1.98.1
Scan saved at 18:31:27, on 08.08.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\TEMP\36.tmp.exe
C:\WINDOWS\System32\busxtmpu.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\mqsvc.exe
C:\WINDOWS\System32\mqtgsvc.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Winamp\Winamp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Treiber\HijackThis1981.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.autobild.de/
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\WINDOWS\TEMP\36.tmp.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [yckhvyhrk] C:\WINDOWS\System32\busxtmpu.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1392870-3C74-4500-B11C-B567196F690F}: NameServer = 195.50.140.250 145.253.2.174

ich hatte sehr viele Trojanische Pferde die W32 Familie habe ich glaube ich entfernt waren 32 stück was soll ich mit den infizierten Archiven machen!!! .cab und co.
Seitenanfang Seitenende
08.08.2004, 19:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 fixe
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O4 - HKLM\..\Run: [[Ephemeral 2.3] by TreeHugger, ] C:\WINDOWS\TEMP\36.tmp.exe
O4 - HKLM\..\Run: [Microsoft Update Machine] winupdt.exe
O4 - HKLM\..\Run: [yckhvyhrk] C:\WINDOWS\System32\busxtmpu.exe
O4 - HKLM\..\RunServices: [Microsoft Update Machine] winupdt.exe
O4 - HKCU\..\Run: [Microsoft Update Machine] winupdt.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

neustarten

# mwav.exe ...scanne <alle Datein
und poste, was das Tool diesmal als <infiziert< anzeigt.

#suche und loesche:
winupdt.exe
C:\WINDOWS\TEMP\36.tmp.exe...eine Variante vom Sasser
C:\WINDOWS\System32\busxtmpu.exe
C:\Programme\SideFind\sidefind.dll

#deaktiviere die Wiederherstellung
#loesche alle TemporaryInterentfiles, am besten mit TuneUp 2004 (30 Tage free)
http://www.tuneup.de/download/

#Mache einen Onlinescann
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

Wo ist die Firewall ?
Dann poste das Log und die Infos von mwav.exe noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.08.2004 um 19:26 Uhr von Sabina editiert.
Seitenanfang Seitenende