Home » Viren, Trojaner & Malware Forum » lssass.exe , avguard32.exe und iexplore.exe » Themenansicht
lssass.exe , avguard32.exe und iexplore.exe |
||
|---|---|---|
| #0
| ||
|
18.08.2004, 13:26
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
18.08.2004, 14:25
Ehrenmitglied
 Beiträge: 29434 |
#2
Deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe mit dem HijackThis, dann sofort neustarten R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.appmcggfjknaocjhjrggqv.com/2oUViH9b5/ZaLzia/OAQiGzAcARTEy8meYVESdZPetRXB0mwW/kGRx3SmQYTkvkD.html R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS.0\System32\toolbar.dll O2 - BHO: (no name) - {DD74DA6C-1A38-9D07-BCDF-0658B7D7901C} - C:\PROGRA~1\BURNDO~1\EggsPeak.exe O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file) O2 - BHO: C:\WINDOWS.0\lbbho.dll - {EA338522-39E6-42D3-B3A4-62966765D900} - C:\WINDOWS.0\lbbho.dll O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS.0\System32\toolbar.dll O4 - HKLM\..\Run: [thunkmulti] C:\PROGRA~1\SHIMDE~1\SAVETHECOAL.exe O4 - HKLM\..\Run: [Internet Global Seek Love] C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Slowchininternetglobal\Ref1.exe O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS.0\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Anti-Virus Guard] avguard32.exe O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS.0\System32\toolbar.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.0\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.0\System32\msjava.dll O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - http://toolbar.isearch.com/general/initial.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.dith.de/Download/1057/setup.exe O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file) neustarten Ueberpruefe mit Kaspersky (poste hier , was angezeigt wird) http://www.kaspersky.com/remoteviruschk.html C:\WINDOWS.0\System32\dwwin.exe C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Slowchininternetglobal\Ref1.exe C:\WINDOWS.0\Explorer.EXE C:\WINDOWS.0\System32\toolbar.dll ............................................................................................................. #Lade ClearProg http://www.clearprog.de/ Loesche: - Cookies - Verlauf - Temporäre Internetfiles (Cache) #Lade von dieser Site AdAware und Search&Destroy http://www.rokop-security.de/main/article.php?sid=703 ##Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ##Gehe in den abgesicherten Modus(wichtig !!!!!!!!!) http://www.bsi.de/av/texte/winsave.htm (F8 druecken, wenn der Computer hochfaehrt ................................................................................................................................ #Troj/Padodor-K ist ein Trojaner, der ein Internet Explorer Plugin installiert. O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file) Damit er beim Start aktiviert wird, erstellt der Trojaner die folgenden Dateien im Windows-Systemordner: eine zufällig benannte Exe-Datei (eine Kopie des Trojaners)...(C:\WINDOWS.0\Explorer.EXE) ???? eine zufällig benannte DLL (das IE-Plugin).....C:\WINDOWS.0\lbbho.dll (?) Troj/Padodor-K erstellt die folgenden Registrierungseinträge, um das Plugin zu registrieren: #Start<Ausfuehren<regedit HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ BrowseNewProcess\BrowseNewProcess = "yes" loesche diesen Prozess oder aendere in "no" loesche: HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\ HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\ @ = "C:\\WINDOWS\\System32\\" HKCR\CLSID\(79FEACFF-FFCE-815E-A900-316290B5B738)\InProcServer32\ ThreadingModel = "Apartment" HKCR\Windows\CurrentVersion\ShellServiceObjectDelayLoad\ Web Event Logger = "(79FEACFF-FFCE-815E-A900-316290B5B738)" Der Trojaner ändert außerdem die Sicherheitseinstellungen für alle Internetzonen, erstellt eine HTML-Datei im Ordner "Temporary Internet Files" des aktuellen Benutzers und öffnet diese Datei im Internet Explorer, um sensible Daten zu stehlen. ........................................................................................................................................... -----suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. (Falls etwas erscheint<no delet) , notiere es und poste es dann (!)+ das neue Log nochmal und die Info von Kaspersky ...................................................................................................................................... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 14:47 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.08.2004, 18:07
...neu hier
Themenstarter Beiträge: 2 |
#3
Hier ist vorerst das was bei kaspersky da stand
scanned file: dwwin.exe dwwin.exe - OK Statistics: Known viruses: 96610 Updated: 18-08-2004 File size (Kb): 176 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 Scanned file: Ref1.exe Ref1.exe - packed with UPC Ref1.exe - OK Statistics: Known viruses: 96610 Updated: 18-08-2004 File size (Kb): 286 Virus bodies: 0 Files: 2 Warnings: 0 Archives: 0 Suspicious: 0 Scanned file: explorer.exe explorer.exe - OK Statistics: Known viruses: 96610 Updated: 18-08-2004 File size (Kb): 984 Virus bodies: 0 Files: 1 Warnings: 0 Archives: 0 Suspicious: 0 |
|
|
|
|
|
|
18.08.2004, 23:34
Ehrenmitglied
Beiträge: 29434 |
#4
Hi@fAiZY
Das Kasperle will nicht, wie ich will..... Nun gut..mache folgendes: ##Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp -----Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) ----Gehe in den abgesicherten Modus(wichtig !!!!!!!!!) http://www.bsi.de/av/texte/winsave.htm (F8 druecken, wenn der Computer hochfaehrt ----suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. Poste das Virenlog (!)+ das neue Log vom HijackThis nochmal mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 18.08.2004 um 23:35 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.08.2004, 23:57
Member
Beiträge: 441 |
#5
Hi Sabina,
Zitat Das Kasperle will nicht, wie ich will.....Da diese Malware Dateien nicht erkannt werden, sollte man diese zur weiteren Analyse entweder an virus@protecus.de oder an Kaspersky selbst schicken. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
|
19.08.2004, 00:00
Ehrenmitglied
Beiträge: 29434 |
||
|
|
|
|
|
19.08.2004, 00:04
Member
Beiträge: 441 |
#7
Zitat Hallo @CidreEs war nur eine Ergänzung.  __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe ein verdammt Grosses problem also wenn ich meinen pc starte, startet lssass.exe und iexplore.exe ( iexplore startet obwohl gar kein internet explorer an ist )
Im Taskamanger ist da 2 mal die lssass.exe und 2 mal die iexplore.exe
Lssass.exe lässt sich problemlos beeneden , jedoch die iexplore.exe lässt sich nicht beenden bzw. ich beende sie und sie startet wieder von neu , was mich langsam auf die palme bringt . ich loesche beide aus de´m startmenue mit tuneup startupmanager und trotzdem starten die nach 2 mal nochmal.
Und letzten endes ist da noch die avguard32.exe , von der ich weiss das sie nicht zu antivir gehoert. ich beende sie aber beim neu startet kehrt die auch immer wieder zurueck ...
Hier ist mein Hijack-logfile pls wenn einer helfen kann schnell ^^ ich habe es schon mit stinger , antivir und pandasoft versucht , keiner kriegt die dinger weg.
---------------------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 12:25:45, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS.0\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\ssss\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS.0\System32\dwwin.exe
C:\Programme\Internet Explorer\iexplore.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.appmcggfjknaocjhjrggqv.com/2oUViH9b5/ZaLzia/OAQiGzAcARTEy8meYVESdZPetRXB0mwW/kGRx3SmQYTkvkD.html
R3 - URLSearchHook: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS.0\System32\toolbar.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS.0\System32\toolbar.dll
O2 - BHO: (no name) - {DD74DA6C-1A38-9D07-BCDF-0658B7D7901C} - C:\PROGRA~1\BURNDO~1\EggsPeak.exe
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O2 - BHO: C:\WINDOWS.0\lbbho.dll - {EA338522-39E6-42D3-B3A4-62966765D900} - C:\WINDOWS.0\lbbho.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.0\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: iSearch Toolbar - {1C78AB3F-A857-482e-80C0-3A1E5238A565} - C:\WINDOWS.0\System32\toolbar.dll
O4 - HKLM\..\Run: [thunkmulti] C:\PROGRA~1\SHIMDE~1\SAVETHECOAL.exe
O4 - HKLM\..\Run: [Internet Global Seek Love] C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\Slowchininternetglobal\Ref1.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS.0\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Anti-Virus Guard] avguard32.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AIM] C:\PROGRA~1\AIM95\aim.exe -cnetwait.odl
O8 - Extra context menu item: &iSearch The Web - res://C:\WINDOWS.0\System32\toolbar.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.0\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS.0\System32\msjava.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRA~1\AIM95\aim.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
O16 - DPF: {14F65762-96FB-44B9-8DAC-93845F377A0E} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/de/filesharingctrl.cab
O16 - DPF: {1C78AB3F-A857-482E-80C0-3A1E5238A565} (iSearch Toolbar) - http://toolbar.isearch.com/general/initial.cab
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.dith.de/Download/1057/setup.exe
O16 - DPF: {75D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin.SecureControl) - http://secure2.comned.com/signuptemplates/ActiveSecurity.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E368B8D-5731-4BE7-8F26-D9215FAE13C5}: NameServer = 217.237.149.161 194.25.2.129
O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - (no file)