Ständige Werbepopups oder leere IE-Browserfenster in der Taskleiste??

Thema ist geschlossen!
Thema ist geschlossen!
#0
22.09.2004, 08:51
Member

Beiträge: 1095
#46

Zitat

Sabina postete
alles ueber den Sasser (auch das RemovalTool:
http://board.protecus.de/t9676-8.htm
mfg
Sabina
Häh ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
22.09.2004, 10:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#47

Zitat

paff postete

Zitat

Sabina postete
alles ueber den Sasser (auch das RemovalTool:
http://board.protecus.de/t9676-8.htm
mfg
Sabina
Häh ;)
Da war natuerlich fuer jemand anderes bestimmt....Das kommt davon, wenn man an mehreren Threads gleichzeitig arbeitet.....
<<<<
Ich hab immer noch Probleme ...
- CPU 100% ausgelastet (hab NAV komplett von der Platte entfernt)
- NT-Autorität/System hat mir schon 2x den Computer heruntergefahren!?<<<
Gruss
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.09.2004 um 10:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.09.2004, 11:23
Member

Beiträge: 1095
#48

Zitat

Da war natuerlich fuer jemand anderes bestimmt
Dann einfach den Artikel löschen ;)

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
22.09.2004, 11:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#49 Wuerde ich ja gern, aber es ist echt nervend:
Sie können diesen Post nicht mehr löschen, da das Zeitlimit überschritten wurde.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2004, 08:20
Member

Beiträge: 18
#50 Hi

Logfile of HijackThis v1.98.2
Scan saved at 08:17:37, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\asterios\LOKALE~1\Temp\kavss.exe
C:\Dokumente und Einstellungen\asterios\Eigene Dateien\Programme\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bluewin.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com" /s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: server[1].exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14
Seitenanfang Seitenende
23.09.2004, 08:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#51 @zorbas

Fixe , damit es aus dem Autostart kommt (muss da nicht sein)
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\asterios\LOKALE~1\Temp\mwavscan.com" /s

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 23.09.2004 um 11:48 Uhr von Sabina editiert.
Seitenanfang Seitenende
23.09.2004, 08:40
Member

Beiträge: 18
#52 Danke.

Habs gerade noch gemacht und auch das Antivir gedownloadet.

Ist mein Pc jetzt ganz sauber?

Und mein Bruder darf nie mehr an meinen Pc. Das ganze war jetzt sehr anstregend.
Seitenanfang Seitenende
23.09.2004, 08:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#53 Hi @zorbas
Ich habe deinen Thread nicht begleitet, aber dennoch folgende Tipps:

1.Lade :#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

2.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

3. Surfe nicht mehr mit dem IE
#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

4.ANTS 2.1 (scanne die Festplatte und mache auch den Trojaner-Port-scann.
http://www.pcbusiness-online.de/common/dtt/file.php?areaid=12&orderby=Title&dsp_start=0&fileid=1547

Dann poste das HijackThis-Log mit den Infos von ANTS 2.1.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.09.2004, 08:51
Member

Beiträge: 1095
#54 @zorbas

Dieses hier macht mir noch Kopfzerbrechen
O4 - Startup: server[1].exe

Such mal bitte die Datei und prüfe SIe hier
http://www.kaspersky.com/remoteviruschk.html

oder schick Sie an virus@protecus.de
mit Link zu diesem Thread bitte

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.09.2004, 09:14
Member

Beiträge: 18
#55 Habs auf dieser seite geprüft.

Scanned file: SERVER[1].EXE-050CB490.pf

SERVER[1].EXE-050CB490.pf - OK

Statistics:
Known viruses: 99585 Updated: 23-09-2004
File size (Kb): 24 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0

da hab ich noch eins gefunden das nur server1 heisst. hab ich im autostart gefunden.

Scanned file: server[1].exe

server[1].exe - OK

Statistics:
Known viruses: 99586 Updated: 23-09-2004
File size (Kb): 4 Virus bodies: 0
Files: 1 Warnings: 0
Archives: 0

jetzt kommen wieder solche pop ups fenster
Seitenanfang Seitenende
23.09.2004, 09:35
Member

Beiträge: 1095
#56 @zorbas

Schick bitte die "server[1].exe" an virus@protecus.de

Wenn du die Antwort hast poste diese bitte zusammen mit einem neuen HiJackThis Logfile hier rein.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.09.2004, 09:40
Member

Beiträge: 18
#57

Zitat

paff postete
@zorbas

Schick bitte die "server[1].exe" an virus@protecus.de

oKay.

muss ich da auf etwas achten oder so?
Seitenanfang Seitenende
23.09.2004, 09:48
Member

Beiträge: 1095
#58 @zorbas

zippe die Datei am besten und dann Ab damit

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.09.2004, 11:42
Member

Beiträge: 18
#59 Hi

Hier die antwort :

Hallo zorbas

bei deiner Datei handelt es sich um
"TrojanDownloader.Win32.Small.wg"


Logfile of HijackThis v1.98.2
Scan saved at 11:48:18, on 23.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Recycler\WINLOGON.EXE
C:\Dokumente und Einstellungen\asterios\Eigene Dateien\Programme\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hispeed.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.bluewin.ch/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: ISTactivex.dll
O4 - Startup: server[1].exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Packard Bell - {1D49B7D4-524D-4ac9-BC34-B4822CAE4BB1} - C:\Apps\IECustom\script.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: ConferenceRoom Java Client - http://irc1.bluewin.ch/java/cr.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = mydomain.com
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.57.146.14
Dieser Beitrag wurde am 23.09.2004 um 11:49 Uhr von zorbas editiert.
Seitenanfang Seitenende
23.09.2004, 12:19
Moderator

Beiträge: 7805
#60 Das ist wohl auch noch eine "Problemdatei": C:\Recycler\WINLOGON.EXE schicke die Dateibitte auch mal ein und fixe noch das:

O4 - Startup: ISTactivex.dll
O4 - Startup: server[1].exe
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab

und deine "O17" Eintraege kommen mir auch suspekt vor...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: