Werbebanner ohne Grund [HijackThis Check] |
||
|---|---|---|
| #0
| ||
|
19.08.2004, 08:57
...neu hier
Beiträge: 8 |
||
 
|
|
|
|
19.08.2004, 11:29
Ehrenmitglied
 Beiträge: 29434 |
#2
Hallo @Designix
Fixe mit dem HijackThis, dann sofort neustarten R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [gemswqxhu] C:\WINDOWS\System32\xsndcy.exe O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe O4 - HKLM\..\Run: [fstyf] C:\WINDOWS\fstyf.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab neustarten Deinstalliere: <C:\Programme\Power Scan\ <C:\Programme\SideFind\ <C:\Programme\ISTbar <C:\Programme\ISTsvc\i <C:\Program Files\Internet Optimizer\ <c:\programme\180solutions #und loesche alles davon C:\Programme\Power Scan\powerscan.exe, usw...... C:\Programme\SideFind\sfbho.dll...usw. C:\Programme\ISTbar\istbar.dll ...usw. C:\Programme\ISTsvc\istsvc.exe..usw. C:\Program Files\Internet Optimizer\optimize.exe"...usw. c:\programme\180solutions\msbb.exe usw. #Lade AdAware (free) http://www.lavasoft.de/support/download/ #Lade Spybot http://www.safer-networking.org/de/download/index.html #Lade eScan (entpacke in C:\ base ) http://www.mwti.net/antivirus/free_utilities.asp Nun suchst du eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Gehe in den abgesicherten Modus http://www.bsi.de/av/texte/winsave.htm #suche eine "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. ................................................................................................... #Dann poste bitte, was der <eScan< gefunden hat.(Virenlog)....am Besten , du machst noch mal einen Scann im Normalmodus.... mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 19.08.2004 um 11:43 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.08.2004, 13:16
...neu hier
Themenstarter Beiträge: 8 |
#3
Hi,
hab alles gemacht und escan auch zweimal rübergeschickt. Die Bannner kommen allerdings immernoch zwar weniger aber doch ebn noch da. DasLogfile von escan ist ziemlich groß soll ich des wirklich hier posten (ist echt riesig)? Hier nochmal Hijack nach der Aktion: Logfile of HijackThis v1.98.2 Scan saved at 13:10:53, on 20.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\mda\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\mda\LOKALE~1\Temp\kavss.exe C:\WINDOWS\System32\notepad.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\mda\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inbitbln.local O17 - HKLM\Software\..\Telephony: DomainName = inbitbln.local O17 - HKLM\System\CCS\Services\Tcpip\..\{55EB9ABE-E4DD-4D43-B700-E2C507D03C04}: NameServer = 192.168.1.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inbitbln.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = inbitbln.local Ach ich habe Spybot vergessen. Aber ich hatte PestPatrol noch einmal drüber. Soll ich Spybot auch noch machen? Dieser Beitrag wurde am 20.08.2004 um 13:18 Uhr von Designix editiert.
|
|
|
|
|
|
|
20.08.2004, 14:07
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @Designix
 Fixe O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll neustarten deaktiviere kurz deinen Virenscanner(ist wichtig!) und lade Antivirus http://www.free-av.de/ konfiguriere: <ALLE Dateien< <Heuristic :hoch Dann gehe in den abgesicherten Modus und mache einen Vollscann . dann normalstarten #Scanne mit AdAware und Spybot #Scanne noch mal mit der mwav.exe und kopiere aus dem ellenlangen Log (Logviewer) nur die infizierten Sachen raus , auch was <no action taken< ist. Das postest du und das neue Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.08.2004 um 14:09 Uhr von Sabina editiert.
|
|
|
|
|
|
|
20.08.2004, 15:45
...neu hier
Themenstarter Beiträge: 8 |
#5
Hey Sabina,
werd ich am Montag machen da jetzt erstmal Wochenende ist. Ne Frage nebenbei. Wo kann ich ein Removeltool für folgendes finden: W32 Randex.gen und W32 Spybot.worm? bzw. unter welchen Namen sind diese Viren noch bekannt? THX ------ zur Erklärung: Diese 2 netten Teile hat ein Freund der seit gestern Inet hat eingafangen. Dieser Beitrag wurde am 20.08.2004 um 15:48 Uhr von Designix editiert.
|
|
|
|
|
|
|
20.08.2004, 16:05
Member
Beiträge: 1095 |
#6
@Designix
Diese beiden sind generisch bzw. heuristisch erkannte Würmer. W32 Randex.gen und W32 Spybot.worm D.h. der Virenscanner hat Sie aufgrund verschiedenster Verhaltensweisen erkannt und nicht aufgrund seiner internen ScanDatenbank. Sie ähneln aber den Würmern von denen Sie den Namen haben W32/Randex und W32/Spybot. Für die gibts im Moment keine Removaltools. Erst wenn der Scanner die Datei direkt mit Namen Wie z.B. "MyDoom.AD" erkennt, bieten die Scannerhersteller (vielleicht) ein spezielles Removaltool an. Muß dich auf der Herstellerseite des Virenscanners schlau machen. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 20.08.2004 um 16:16 Uhr von paff editiert.
|
|
|
|
|
|
|
20.08.2004, 16:14
...neu hier
Themenstarter Beiträge: 8 |
#7
Auf der Herstellerseite von was. Von den Viren
Nee ich denk du meinst den Scanneroder? Ich hab den Randex Thread hier im Board gefunden. Und für die Spybots gibts ja ausführliche Beschreibungen bei Symantec. Ich hoffe das wird reichen. |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
- »
- »
- »
- » Downloadvolumen steigt ohne Grund!
- »
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
ich hab seit kurzem wieder mal werbung ohne grund ich denke es ist irgendeine spyware. ich glaube powerscan ist so eine.
bevor ich jedoch irgendwas fixe wollte ichb hier mal fragen
achso und es ist der rechner auf arbeit der über einen server läuft
THX
MX
Hijack Log:
Logfile of HijackThis v1.98.2
Scan saved at 08:53:21, on 19.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINDOWS\System32\xsndcy.exe
C:\programme\180solutions\msbb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\mda\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem219.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wsem301.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Programme\ISTbar\istbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [gemswqxhu] C:\WINDOWS\System32\xsndcy.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\Run: [msbb] c:\programme\180solutions\msbb.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [fstyf] C:\WINDOWS\fstyf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inbitbln.local
O17 - HKLM\Software\..\Telephony: DomainName = inbitbln.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{55EB9ABE-E4DD-4D43-B700-E2C507D03C04}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inbitbln.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = inbitbln.local
*edit
ich hab jetzt über kaspersky schon rausgefunden das die lstBar wohl schon mal was ist aber ich vermute da ist noch mehr.