Win32.Randex.1.Gen und Logfile |
||
---|---|---|
#0
| ||
17.08.2004, 23:22
...neu hier
Beiträge: 6 |
||
|
||
18.08.2004, 15:02
Ehrenmitglied
Beiträge: 29434 |
#2
scanne mit dem HijackThis, hake an, was ich poste und <fix<.Dann starte sofort neu
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll (file missing) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank O4 - HKLM\..\Run: [deupdchk] C:\WINNT\Dialer\_x-Finder.exe ! Dialer ! O4 - HKLM\..\Run: [TeenXXX] C:\WINNT\Dialer\pdialer.exe !m ln=WMP200000000454} sl=sx000151} dn=} sn=TeenXXX} tu=http://63.66.136.123/m/} ru=} pl=15} nu=15} O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab ............................................................................................................. Kennen Sie die IP oder die Domäne '212.114.152.1 212.114.153.1 ' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5790EE-E757-42C1-91E8-96599616FB15}: NameServer = 212.114.152.1 212.114.153.1 NEUSTARTEN Ueberpruefe mit Kaspersky (poste, was angezeigt wird) http://www.kaspersky.com/remoteviruschk.html C:\ESM2\SAgentNT.exe C:\ESM2\EBRR.EXE C:\PROGRA~1\Save\Save.exe C:\WINNT\system32\CMMON32.EXE ........................................................................................................... ##Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!) http://www.bsi.de/av/texte/winsave.htm (F8 druecken, wenn der Computer hochfaehrt -----suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. (Falls etwas erscheint<no delet) , notiere es und poste es dann (!)...denn den Dialer wirst du manuell loeschen muessen..... ...................................................................................................................................... #Lade von hier AdAware und Search&Destroi http://www.rokop-security.de/main/article.php?sid=703 #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Lade von dieser Seite<0190/0900-Warner und Einwahlschutz< http://www.dialerschutz.de/home/Downloads/downloads.html #Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess. Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten. Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.---- SICHERHEITSRISIKO Start<Systemsteuerung<Verwaltung<Dienste Dann poste das Log noch mal.(mit den Infos von Kaspersky und <eScan< mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 15:12 Uhr von Sabina editiert.
|
|
|
||
19.08.2004, 11:49
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Sabina
erstmal herzlichen Dank das du dir die Mühe gemacht hast das ganze anzuschauen und mir hier Hilfe zu posten. Da ich ja nicht so fit in Sachen PC bin habe ich deine anweisungen nach besten Wissen befolgt. Die vier oben genannten Dateien habe ich bei Kaspersky überprüft und bei allen vieren kam ein O.K. Bei eScan war das schon etwas anders. Ich hab im abgesicherten Modus geprüft und das ergebnis war Total Number of Files Scanned: 44618 Total Number of Virus(es) Found: 57 Total Number of Desinfected Files: 0 Total Number of Files Renamed: 16 Total Number of Deleted Files: 4 Total Number of Errors: 1 Das hört sich für mich jetzt erstmal ziemlich erschreckend an, da ich damit mal wieder nicht viel anfangen kann. Hätte ich nun die ganze 57 angezeigten Meldungen notieren sollen? Bei den meisten stand hinten "No Action Taken" (Was heißt das denn?) Bei anderen wieder nur Action Taken, wie z.b. File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe infected by "Backdoor.SdBot.gen" Virus. Action Taken:File Renamed oder File C\WINNT\Downloaded Programm Files\Conflict.1\instal.exe infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed File D:\Spybot-Search&Destroy 1.1\Recovery\Central 13Zip infected by "Trojan.Win32.Dialer.cr" Virus. Action Taken File Deleted Search&Destroi hatte ich schon auf meinen PC aber habe mir nun die aktuellste runtergeladen und es hat 43 Probleme gefunden und behoben. Das ClearProg muss ich heute noch machen das habe ich leider nicht mehr geschafft gestern abend da ich schon fast am Schreibtisch eingeschlafen bin. Heute früh habe ich dann einfach nochmal BitDefender laufen lassen und folgende Meldung habe ich erhalten: Infiziert sind mit Win32.Randex.1.Gen: C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt >(Morphine 1.2) > (Upx) C:\WINNT\system32\GT.exe.mwt > (Morphine 1.2) > (Upx) Gestern fand ich ihn noch in Dokumente und Einstellung, da ist er jetzt wohl nicht mehr dafür bei BitDefender wenn ich das richtig verstanden habe. Ach und einmal ist er bei BitDefender in Quarantäne. Und zu guter Letzt noch mein aktuellster Logfile: Logfile of HijackThis v1.98.2 Scan saved at 11:19:19, on 19.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\ESM2\SAgentNT.exe C:\ESM2\EBRR.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\ORL\VNC\WinVNC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINNT\Explorer.EXE C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe D:\programme\qttask.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Nun hab ich dich ganz schön zugeschrieben und hoffe das du mir noch ein bisschen weiter helfen kannst. Herzliche Grüße Claudia |
|
|
||
19.08.2004, 13:37
Ehrenmitglied
Beiträge: 29434 |
#4
@Schnuppl
Scanne bitte noch mal mit <eScan< und dann kopiere aus dem View-Log (ist eine Funktion im Scanner, wo das komplette Log aufgelistet ist), die <No Action Taken<heraus und poste sie. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.08.2004 um 13:38 Uhr von Sabina editiert.
|
|
|
||
19.08.2004, 23:52
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Sabina, da bin ich wieder und auch mit neuem Scan und das ergebniss ist wie folgt.
Thu Aug 19 20:30:58 2004 => File C:\WINNT\System32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken. Thu Aug 19 20:31:25 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 20:32:24 2004 => File C:\WINNT\system32\GT.exe.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Thu Aug 19 20:32:25 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 20:33:50 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken. Thu Aug 19 20:42:35 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken. Thu Aug 19 20:42:36 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. Thu Aug 19 20:43:16 2004 => File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Thu Aug 19 20:47:17 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 20:47:18 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 20:47:20 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 20:47:23 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed. Thu Aug 19 20:55:24 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 20:56:55 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken. Thu Aug 19 20:58:57 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 20:59:02 2004 => File D:\Companion\ycomp5_0_2_7.dll.mwt infected by "not-a-virus:AdvWare.Toolbar.Yahoo" Virus. Action Taken: File Renamed. Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103\s2k.exe tagged as not-a-virusornWare.Dialer.Generic. No Action Taken. Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip tagged as not-a-virusornWare.Dialer.Generic. No Action Taken. Thu Aug 19 20:59:42 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:43 2004 => File D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:43 2004 => File D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:44 2004 => File D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:45 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:45 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:46 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:47 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:47 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:48 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:48 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:49 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:49 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:50 2004 => File D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:50 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:51 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:51 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:52 2004 => File D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:54 2004 => File D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:55 2004 => File D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 20:59:55 2004 => File D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe tagged as not-a-virusornWare.Dialer.Star. No Action Taken. Thu Aug 19 21:06:58 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 21:06:59 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 21:07:01 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Thu Aug 19 21:07:04 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed. Thu Aug 19 21:14:54 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 21:16:24 2004 => File C:\WINNT\system32\PSEXESVC.EXE tagged as not-a-virus:RiskWare.Tool.PsExec.123. No Action Taken. Thu Aug 19 21:18:27 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Thu Aug 19 21:18:27 2004 => Total Number of Files Scanned: 44771 Thu Aug 19 21:18:27 2004 => Total Number of Virus(es) Found: 48 Thu Aug 19 21:18:27 2004 => Total Number of Disinfected Files: 0 Thu Aug 19 21:18:27 2004 => Total Number of Files Renamed: 11 Thu Aug 19 21:18:27 2004 => Total Number of Deleted Files: 0 Thu Aug 19 21:18:27 2004 => Total Number of Errors: 1 Thu Aug 19 21:18:27 2004 => Time Elapsed: 00:47:41 Thu Aug 19 21:18:27 2004 => Virus Database Date: 2004/08/09 Thu Aug 19 21:18:27 2004 => Virus Database Count: 100135 Vielen Dank nochmal und eine angenehme Nacht Liebe Grüße Claudia |
|
|
||
20.08.2004, 01:17
Ehrenmitglied
Beiträge: 29434 |
#6
@Schnuppl
Loesche manuell: 1.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe 2.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip 3.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe 4.) D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip 5.) D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip 6.) D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip 7.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe 8.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe 9.) D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip 10.)D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip 11.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe 12.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip 13.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe 14.)D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip 15.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe 16.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip 17.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe 18.)D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip 19.)D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe 20.)D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip 21.)D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe 22.)D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip 23.)D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe 24.)D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe 25.)D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe 26.)Unknown Trojan-Trojan C:\WINNT\system32\PSEXESVC.EXE...loesche das manuell. ---Dann scanne noch mal und poste das Virenlog. MFG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 01:25 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 08:21
...neu hier
Themenstarter Beiträge: 6 |
#7
Hallo Sabina
sorry wenn ich dich gleich nochmal belästige aber wenn du mir vielleicht genauer sagst wie ich das löschen muss bzw. wo ich das löschen muss. Und mit nochmal scannen uns posten des Virenlog meinst du das ich im abgesicherten Modus nochmal mit eScan scanne und das Ergebnis hier rein stelle? Ich bin wohl nur ein oberflächen PC-Nutzer *schäm* aber durch sowas lern ich auch noch dazu. :o)) Viele Grüße Claudia |
|
|
||
20.08.2004, 11:44
Ehrenmitglied
Beiträge: 29434 |
#8
@Schnuppel
Du bist zwar nur ein "einfacher " PC-Benutzer, aber du darfst nich ueberall draufklicken, wo o.k. steht....denn ich habe noch nie einen Computer mit so viel Dialern gesehen Du musst dir die Arbeit machen und alle manuell loeschen (!) Zum Beispiel, das ist eine <zip< Datei. D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip #Versteckte Dateien sichtbar machen Unter Windows XP den "Arbeitsplatz" öffnen. Hier nacheinander auf "Extras" > "Ordneroptionen" klicken. Zum Registerreiter "Ansicht" wechseln. Halten sie nach dem Eintrag "Versteckte Dateien und Ordner" ausschau und klicken direkt darunter auf "Alle Dateien und Ordner anzeigen". Wenn hier die Option schon aktiviert ist ist alles in Ordnung. Andernfalls anklicken und mit "OK" bestätigen. #Gib also in die Suchfunktion von Windows <zip< ein und loesche dann alle Dialer im Zip<-Format. Es sind 12: D:\Eigene Dateien\Ser*hier nicht!* update\dtg.040103.zip D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503.zip D:\Eigene Dateien\seriennummern\neu\dtg.010103.full.zip D:\Eigene Dateien\seriennummern\neu\fms.2003-04-15.full.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01.zip D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15.zip D:\Eigene Dateien\seriennummern\neu\s2k.020102.full.zip D:\Eigene Dateien\seriennummern\neu\s2k.071502.full.zip Dann suchst du die <exe< Dateien und loescht sie ebenfalls Es sind: 13 <EXE< unter <eigene Dateien< D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe D:\Eigene Dateien\Ser*hier nicht!* update\dtg.041503\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-01-15.full\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-02-01\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-02-15\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-03-01\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\neo.2004-03-15\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\s2k.020102.full\s2k.update.exe D:\Eigene Dateien\seriennummern\neu\s2k.071502.full\s2k.update.exe D:\Eigene Dateien\seriennummern1\neu\dtg.010103.full\s2k.update.exe D:\Eigene Dateien\seriennummern1\neu\fms.2003-04-15.full\s2k.update.exe D:\Eigene Dateien\seriennummern1\neu\neo.2004-01-15\s2k.update.exe Dann suchst du diese exe und loescht sie (unbedingt) C:\WINNT\system32\PSEXESVC.EXE....(unbekannter Trojaner) http://www.dialerschutz.de/home/home.html Dann scannst du noch mal mit der mwav.exe (im abgesicherten Modus )und postest das Ergebnis. Und poste auch das neue Log vom HijackThis Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 11:48 Uhr von Sabina editiert.
|
|
|
||
20.08.2004, 19:35
...neu hier
Themenstarter Beiträge: 6 |
#9
Hallo Sabina
die genannten Zip-Dateien und die Exe-Dateien habe ich alle manuell gelöscht. So schlimm wars gar nicht vom aufwand her. Dann habe ich mir noch das ClearProg runter geladen und auch ausgeführt. Den Dialerschutz hab ich auch schon runter geladen allerdings noch nicht installiert da ich mir erst die Anleitung genauer ansehen muss, bevor ich was falsch mache. Im Grunde klicke ich eigentlich wenn ein mir unbekanntes Fenster aufgeht immer auf nein bzw. wenn die Firewall etwas bringt lehne ich das so gut wie immer ab. Allerdings habe ich die Firewall noch keine Ewigkeit. Beim eScan ist nun zweimal ERROR erschienen, ich weiß nicht ob das wichtig ist daher hab ich es einfach mal mit gepostet. Hier nun mal das aktuelle eScan ergebniss: Fri Aug 20 17:23:16 2004 => ERROR!!! Invalid Entry \??\D:\claudia alt\claudia\#LWd_alt#\freetv\nthwio.sys in SYSTEM\CurrentControlSet\Services\nthwio... Fri Aug 20 17:23:18 2004 => ERROR!!! Invalid Entry %SystemRoot%\System32\PSEXESVC.EXE in SYSTEM\CurrentControlSet\Services\PSEXESVC... Fri Aug 20 17:23:46 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 17:24:46 2004 => File C:\WINNT\system32\GT.exe.mwt.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Fri Aug 20 17:24:47 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 17:34:31 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken. Fri Aug 20 17:34:32 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. Fri Aug 20 17:35:11 2004 => File C:\Programme\Softwin\BitDefender Professional Edition\Infected\GT.exe.mwt.mwt infected by "Backdoor.SdBot.gen" Virus. Action Taken: File Renamed. Fri Aug 20 17:39:12 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:39:13 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:39:16 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:39:18 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed. Fri Aug 20 17:47:23 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 17:50:58 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 17:51:03 2004 => File D:\Companion\ycomp5_0_2_7.dll.mwt.mwt infected by "not-a-virus:AdvWare.Toolbar.Yahoo" Virus. Action Taken: File Renamed. Fri Aug 20 17:58:52 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:58:53 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.2\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:58:56 2004 => File C:\WINNT\Downloaded Program Files\instal.exe.mwt.mwt.mwt.mwt.mwt infected by "Trojan.Win32.Dialer.cq" Virus. Action Taken: File Renamed. Fri Aug 20 17:58:58 2004 => File C:\WINNT\Downloaded Program Files\WUInst.dll.mwt.mwt.mwt.mwt.mwt infected by "not-a-virus:AdvWare.SaveNow.ab" Virus. Action Taken: File Renamed. Fri Aug 20 18:06:52 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 18:10:26 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Fri Aug 20 18:10:27 2004 => Total Number of Files Scanned: 43996 Fri Aug 20 18:10:27 2004 => Total Number of Virus(es) Found: 19 Fri Aug 20 18:10:27 2004 => Total Number of Disinfected Files: 0 Fri Aug 20 18:10:27 2004 => Total Number of Files Renamed: 11 Fri Aug 20 18:10:27 2004 => Total Number of Deleted Files: 0 Fri Aug 20 18:10:27 2004 => Total Number of Errors: 2 Fri Aug 20 18:10:27 2004 => Time Elapsed: 00:47:22 Fri Aug 20 18:10:27 2004 => Virus Database Date: 2004/08/09 Fri Aug 20 18:10:27 2004 => Virus Database Count: 100135 Und auch das aktuellste Ergebniss von Hijackthis: Logfile of HijackThis v1.98.2 Scan saved at 19:16:39, on 20.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\ESM2\SAgentNT.exe C:\WINNT\system32\stisvc.exe C:\ESM2\EBRR.EXE C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\ORL\VNC\WinVNC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINNT\Explorer.EXE C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe D:\programme\qttask.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINNT\system32\notepad.exe C:\WINNT\system32\notepad.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Vielen Dank auch nochmal für deine Bemühungen, ich bin ja zuversichtlich das ich das mit deiner Hilfe wieder hinbekomme :o) Viele Grüße Claudia |
|
|
||
20.08.2004, 22:55
Ehrenmitglied
Beiträge: 29434 |
#10
Deinstalliere mal bitte den Bitdefender (komplett) und dann installiere ihn neu.
Dann scanne noch ,mal mit <mwav.exe< und poste . was noch angezeigt wird Frage: Hast du C:\WINNT\system32\PSEXESVC.EXE geloescht ?(im abgesicherten Modus) mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 22:56 Uhr von Sabina editiert.
|
|
|
||
22.08.2004, 13:49
...neu hier
Themenstarter Beiträge: 6 |
#11
Hallo Sabina
Zu deiner Frage, ich habe die Datei C:\WINNT\system32\PSEXESVC.EXE geloescht allerdings nicht im agesicherten Modus. Das war wohl Falsch? Ich habe zwar im abgesicherten Modus nochmal danach gesucht aber keine mehr gefunden. Habe ich deshalb nun mehr "Error" im Scan als vorher? mein neuester scan und das ergebniss: Sun Aug 22 10:55:01 2004 => ERROR!!! Invalid Entry \??\D:\claudia alt\claudia\#LWd_alt#\freetv\nthwio.sys in SYSTEM\CurrentControlSet\Services\nthwio... Sun Aug 22 10:55:03 2004 => ERROR!!! Invalid Entry %SystemRoot%\System32\PSEXESVC.EXE in SYSTEM\CurrentControlSet\Services\PSEXESVC... Sun Aug 22 11:33:50 2004 => ERROR!!! FindFirstFile For C:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Sun Aug 22 12:06:32 2004 => ERROR!!! FindFirstFile For D:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Sun Aug 22 12:07:05 2004 => ERROR!!! FindFirstFile For F:\System Volume Information\*.* Failed!!! Reason is Zugriff verweigert (0x5) Sun Aug 22 10:55:39 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 10:56:46 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 11:28:34 2004 => File C:\Programme\ORL\VNC\VNCHooks.dll tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.1540. No Action Taken. Sun Aug 22 11:28:34 2004 => File C:\Programme\ORL\VNC\vncviewer.exe tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC.333. No Action Taken. Sun Aug 22 11:50:07 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 11:54:09 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 11:57:12 2004 => File D:\Eigene Dateien\ymsgrde5.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 12:23:03 2004 => File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 12:27:08 2004 => File C:\WINNT\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Sun Aug 22 12:27:09 2004 => Total Number of Files Scanned: 44059 Sun Aug 22 12:27:09 2004 => Total Number of Virus(es) Found: 9 Sun Aug 22 12:27:09 2004 => Total Number of Disinfected Files: 0 Sun Aug 22 12:27:09 2004 => Total Number of Files Renamed: 0 Sun Aug 22 12:27:09 2004 => Total Number of Deleted Files: 0 Sun Aug 22 12:27:09 2004 => Total Number of Errors: 5 Sun Aug 22 12:27:09 2004 => Time Elapsed: 01:32:09 Sun Aug 22 12:27:09 2004 => Virus Database Date: 2004/08/09 Sun Aug 22 12:27:09 2004 => Virus Database Count: 100135 Mein neuester LogFile einfach mal dazu Logfile of HijackThis v1.98.2 Scan saved at 13:34:24, on 22.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\ESM2\SAgentNT.exe C:\ESM2\EBRR.EXE C:\WINNT\system32\stisvc.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\Programme\ORL\VNC\WinVNC.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINNT\Explorer.EXE C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe D:\programme\qttask.exe C:\progra~1\softwin\bitdef~1\bdmcon.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINNT\system32\notepad.exe C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing) O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab Einen schönen Sonntag wünsche ich noch Grüße Claudia |
|
|
||
Mein AV hat diesen Wurm auf meinen Rechner gefunden und kann ihn aber nicht desinfizieren, löschen oder in Quarantäne schicken. Als AV Programm habe ich Bit-Defender auf dem Rechner und als Firewall Zone-Alarm. Zuerst war er nur unter WINNT/System32/GT.exe, allerdings nach dem Versuch in ihn Quarantäne zu schicken ist er jetzt in Dokumente und Einstellungen auch zu finden. Bislang hat Bit-Defender wenn es einen Virus gefunden hat desinfiziert und fertig, und nun hab ich da ein Problem und weiß nicht so recht wie ich das angehen soll da ich mich bei solchen Sachen sehr wenig bis gar nicht auskenne.
Weiter unten ist ja schon mal über diesen Wurm geschrieben worden das ich mir auch durchgelesen habe und nun erstmal die neuesten updates von Microsoft runter geladen habe. Desweiteren habe ich mir nun dieses Hijackthis runter geladen und mal getestet. Vielleicht kann mir ja jemand was dazu sagen. Man kann es ja auch online testen lassen was ich auch gemacht habe aber leider ist das alles auf Englisch und ich bin den bebilderten Anweisungen nachgegangen. Aber so recht weiß ich nun auch nicht ob ich das richtig gemacht habe. Das Ergebnis sieht so aus:
Logfile of HijackThis v1.98.2
Scan saved at 22:41:20, on 17.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\ESM2\SAgentNT.exe
C:\ESM2\EBRR.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ORL\VNC\WinVNC.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINNT\Explorer.EXE
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\PROGRA~1\Save\Save.exe
D:\programme\qttask.exe
C:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\CMMON32.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\claudia1\LOKALE~1\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Terra Conexión
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\ycomp5_0_2_7.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\ORL\VNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [deupdchk] C:\WINNT\Dialer\_x-Finder.exe !
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TeenXXX] C:\WINNT\Dialer\pdialer.exe !m ln=WMP200000000454} sl=sx000151} dn=} sn=TeenXXX} tu=http://63.66.136.123/m/} ru=} pl=15} nu=15}
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [WhenUSave] C:\PROGRA~1\Save\Save.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - Global Startup: EPSON Background Monitor.lnk = C:\ESM2\Stms.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O16 - DPF: ChatSpace Full Java Client 3.1.0.235 - http://chat.waslos.de/Java/cfs31235.cab
O16 - DPF: JT's Blocks - http://download.games.yahoo.com/games/clients/y/blt1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab
O16 - DPF: {00000000-5555-0704-0B53-2C8830E9FAEC} - http://install.questnet.de/soft/ieloader.cab
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14b513c2f55149b19406/netzip/RdxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2B5790EE-E757-42C1-91E8-96599616FB15}: NameServer = 212.114.152.1 212.114.153.1
Ich wäre euch sehr dankbar wenn ich eure Meinung bzw. Tipps dazu bekomme und was ich denn nun machen kann.
Viele Grüße
Claudia