Trojaner TR/Spy.Tofger.BI.2 und TR/Dldr.Agent.BQ kommen immer wieder |
||
---|---|---|
#0
| ||
25.08.2004, 18:46
Member
Beiträge: 83 |
||
|
||
25.08.2004, 19:21
Member
Beiträge: 1095 |
#2
@sleepless
Anleitung HiJackthis http://www.hjt.klaffke.de/ Dannn das Logfile hierein kopieren. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.08.2004 um 19:21 Uhr von paff editiert.
|
|
|
||
25.08.2004, 19:50
Member
Themenstarter Beiträge: 83 |
#3
Ahhh! Schon wieder was gelernt! :-)
Also hier mein LogFile: Logfile of HijackThis v1.98.2 Scan saved at 19:48:40, on 25.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\svc8021x.exe C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\s3hotkey.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINNT\vcontrol.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\essspk.exe C:\WINNT\System32\mgr8021x.exe C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe C:\WINNT\system32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\atlxy.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\kavss.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\PROGRA~1\WINZIP\wzqkpick.exe C:\Dokumente und Einstellungen\Götz Marx\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R3 - Default URLSearchHook is missing O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {D00816BF-A740-FA16-391F-D77F19570785} - C:\WINNT\system32\apimp32.dll O2 - BHO: (no name) - {DFD60FEB-AE42-B377-5C6B-91F2477388C9} - C:\WINNT\system32\apimp32.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [atlxy.exe] C:\WINNT\system32\atlxy.exe O4 - HKLM\..\RunOnce: [craq.exe] C:\WINNT\system32\craq.exe O4 - HKLM\..\RunOnce: [ieeo32.exe] C:\WINNT\system32\ieeo32.exe O4 - Global Startup: AEGIS Client Manager.lnk = C:\WINNT\System32\mgr8021x.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab |
|
|
||
25.08.2004, 20:13
Member
Beiträge: 1095 |
#4
@sleepless
Über prüfe bitte diese Datei O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe hier http://www.kaspersky.com/de/remoteviruschk.html Wenn Virus/Malware dann den Eintrag bitte auch Fixen wie unten angegeben Lade dir Escan http://www.rokop-security.de/board/index.php?showtopic=3867 Installieren und updaten wie beschrieben Eigenen Virenscanner updaten Geh bitte in den Abgesichteren Modus http://www.bsi.de/av/texte/winsave.htm AB JETZT NICHT MEHR DEN INTERNET EXPLORER STARTEN Fixe bitte folgendes in HiJackThis (ankreuzen FixChecked drücken) R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {D00816BF-A740-FA16-391F-D77F19570785} - C:\WINNT\system32\apimp32.dll O2 - BHO: (no name) - {DFD60FEB-AE42-B377-5C6B-91F2477388C9} - C:\WINNT\system32\apimp32.dll O4 - HKLM\..\Run: [atlxy.exe] C:\WINNT\system32\atlxy.exe O4 - HKLM\..\RunOnce: [craq.exe] C:\WINNT\system32\craq.exe O4 - HKLM\..\RunOnce: [ieeo32.exe] C:\WINNT\system32\ieeo32.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com Dann scannen mit Escan Dann mit eigenem Virenscanner alle Festplatten scannen Das dauert eine Weile Dann neustart machen und hier nochmal das HiJackThis Logfile posten Gruß paff P.S. Wenn Fragen sind einfach raus damit. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 25.08.2004 um 20:47 Uhr von paff editiert.
|
|
|
||
25.08.2004, 22:34
Member
Themenstarter Beiträge: 83 |
#5
Puhh.. hat ein bisserl gedauert, aber:
BIN SEIT 2 MINUTEN ONLINE, UND NOCH KEINE VIRUSWARNUNG!! *jubel* :-) Also habe alles wie beschrieben gemacht und hier die aktuelle LogFile: Logfile of HijackThis v1.98.2 Scan saved at 22:31:06, on 25.08.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\svc8021x.exe C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\s3hotkey.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINNT\vcontrol.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\essspk.exe C:\WINNT\System32\mgr8021x.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe C:\WINNT\system32\wuauclt.exe C:\Dokumente und Einstellungen\Götz Marx\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [S3Hotkey] s3hotkey.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Vcontrol] C:\WINNT\vcontrol.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [EssSpkPhone] essspk.exe O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\GTZMAR~1\LOKALE~1\Temp\mwavscan.com" /s O4 - Global Startup: AEGIS Client Manager.lnk = C:\WINNT\System32\mgr8021x.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Global Startup: ZyAIR USB.lnk = C:\Programme\Dienstprogramm ZyAIR USB\ZyAIR.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab |
|
|
||
26.08.2004, 00:59
Member
Beiträge: 1095 |
#6
@sleepless
Diese 3 Datei bitte noch untersuchen C:\WINNT\System32\svc8021x.exe C:\WINNT\System32\mgr8021x.exe C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXE und zwar hier bitte http://www.kaspersky.com/de/remoteviruschk.html Was wird gemeldet? Was kam bei der vcontrol.exe vorhin raus? Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
26.08.2004, 01:22
Member
Themenstarter Beiträge: 83 |
#7
Zitat C:\WINNT\System32\svc8021x.exesind ok! Genauso wie vorhin auch die vcontrol.exe Zitat C:\DOKUME~1\GTZMAR~1\LOKALE~1\TEMP\_VWUPSRV.EXEfinde ich nicht! Wenn ich die Ordner durchgehe, gibt es unter meinem Namen keinen Ordner namens "Lokale.." und auch unter der Such-Funktion läßt sich diese .exe-Datei nicht finden... Es gibt nur eine ähnliche Datei mit dem Namen: AVWUPSRV.EXE, im AVPerfsonal-Ordner... (?) Aber bisher läuft alles super! |
|
|
||
26.08.2004, 10:29
Member
Beiträge: 1095 |
#8
@sleepless
Bitte gib unter Start/ausführen dieses ein %temp% Dann Öffnet sich ein Explorerfenster . Dort mal schauen ob du die Datei findest "_VWUPSRV.EXE" wahrscheinlich ist es aber das UpdateTool vom Antivir Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
26.08.2004, 13:29
Member
Themenstarter Beiträge: 83 |
#9
Alles ok. Hab die Datei auf der kapersky-seite checken lassen... Alles OK!
Bin ich geheilt?! Eine kleine Frage hab ich dann noch. Nachdem ich gestern die vielen Trojaner-Warnungen bekam, hab ich wohl auch des öfteren anstatt "in Quarantäne verschieben" auch einfach auf "löschen" geklickt... (mindestens Dutzendfach!) Gestern kam dann mal beim Hochbooten die Fehlermeldung: "Die Datei C:/WINNT/System32/crqj.exe (oder deren Komponenten) wurden nicht gefunden" Dann kam noch eine gleiche Fehlermeldung für eine andere Datei, die ich aber ausversehen direkt weggeglickt habe ohne mitzuschreiben... Ist das schlimm? |
|
|
||
26.08.2004, 13:50
Member
Beiträge: 1095 |
#10
Zitat sleepless74 postete1. Das war aber vor der "Behandlung" hier, oder? 2. Das mit dem löschen ist OK. Sollte das aber wieder vorkommen, muß man sich überlegen wo das herkommt. Hier mal ein paar Sachen zum Einlesen von User "Cidre" Punkt 2 ist für dich uninteressant da dies nur bei WInXP funktioniert Zitat 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzenGruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
26.08.2004, 20:57
Member
Themenstarter Beiträge: 83 |
#11
Danke Paff, werd ich mich dran halten! Vor allem Punkt 9... sagt man da nicht auch Brain2.0 ;-)
Vielen Dank, für die großartige Hilfe mal wieder! Dieses Forum ist SUPER!! :-) |
|
|
||
27.08.2004, 01:11
Member
Beiträge: 1095 |
#12
@sleepless74
Gut erkannt Punkte 9 ,6 und 4 sind für dich wohl die relevaten. Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
05.09.2004, 00:53
...neu hier
Beiträge: 1 |
#13
bitte auch um hilfe...
meine logfile: Logfile of HijackThis v1.98.2 Scan saved at 00:48:33, on 05.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\services\msxmidi.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\javaxf32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\Mousometer\mousometer.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe C:\Programme\Avant Browser\iexplore.exe C:\Dokumente und Einstellungen\Simon\Desktop\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: (no name) - {A41A213E-797E-22D5-754D-958D01F18F2F} - C:\WINDOWS\system32\addkr32.dll O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [javaxf32.exe] C:\WINDOWS\system32\javaxf32.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe O4 - HKLM\..\RunOnce: [javawm32.exe] C:\WINDOWS\javawm32.exe O4 - HKLM\..\RunOnce: [applb32.exe] C:\WINDOWS\system32\applb32.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm O9 - Extra button: concept/design's onlineTV - {5ED02E1F-0579-4B52-AB0D-068A901BF5CC} - C:\Programme\onlineTV\onlineTV.exe O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: AOL 7.0 - {19454A3D-27E1-4803-A857-B76F21B1680B} - C:\Programme\AOL 7.0\aol.exe (HKCU) O9 - Extra button: MedionShop - {811DDDB7-933B-4717-8A6B-4F86A67E0F9F} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=9eafaeb2a8e2a9518112bc6e0cedee1552dd4ecb1dd748bcf1cf4d42ced1394245b14c137e17952f3a6abadc3d36297b2b37:b70ac5aa8ec48e2e58a29296baabe1d6 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.de/StarInstall.ocx O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab dankbar für jede hilfe... |
|
|
||
05.09.2004, 21:00
Ehrenmitglied
Beiträge: 29434 |
#14
Hallo @Cetti
Dein PC ist verseucht. Vielleicht solltest du ueber eine Neuinstallation nachdenken. #Wiederherstellung deaktivieren http://www.bsi.de/av/texte/winsave.htm Fixe mit dem HijackThis, dann neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\lwigw.dll/sp.html#29126 R3 - URLSearchHook: (no name) - {20EC3D2D-33C1-4C9D-BC37-C2D500688DA2} - C:\Programme\TV Media\TvmBho.dll F3 - REG:win.ini: run=C:\WINDOWS\System32\services\msxmidi.exe O2 - BHO: CExtension Object - {0019C3E2-DD48-4A6D-AB2D-8D32436313D9} - C:\WINDOWS\bsx5.dll O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file) O2 - BHO: (no name) - {A41A213E-797E-22D5-754D-958D01F18F2F} - C:\WINDOWS\system32\addkr32.dll O2 - BHO: CExtension Object - {A85C4A1B-BD36-44E5-A70F-8EC347D9B24F} - C:\WINDOWS\bs3.dll O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.2001.0001\de\msntb.dll O4 - HKLM\..\Run: [bxsx5] RunDLL32.EXE C:\WINDOWS\bsx5.dll,DllRun O4 - HKLM\..\Run: [Bsx3] RunDLL32.EXE C:\WINDOWS\bs3.dll,DllRun O4 - HKLM\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.0002.1001\de\msnappau.exe" O4 - HKLM\..\Run: [javaxf32.exe] C:\WINDOWS\system32\javaxf32.exe O4 - HKLM\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe O4 - HKLM\..\RunOnce: [javawm32.exe] C:\WINDOWS\javawm32.exe O4 - HKLM\..\RunOnce: [applb32.exe] C:\WINDOWS\system32\applb32.exe O4 - HKCU\..\Run: [TV Media] C:\Programme\TV Media\Tvm.exe O4 - HKCU\..\Run: [xpsystem] C:\WINDOWS\System32\services\msxmidi.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-do O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.power-url.d O16 - DPF: {E2F2B9D0-96B9-4B25-B90C-636ECB207D18} - http://www.whenusearch.com/WUInstSECS.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http: neustarten 1. Deinstalliere C:\Programme\MSN Apps\MSN Toolbar\ 2.Datentraegerbereinigung Laufwerk C: eine Datenträgerbereinigung vornehmen. Start > Programme > Zubehör > Systemprogramme > Datenträgerbereinigung und Start<Ausfuehren%temp% reinkopieren oder reinschreiben und alles loeschen 3.TemporaryIntenetfiles loeschen: Loesche die Files mit <Winsweep< http://www.winsweep.de/down.htm Klicke auf die Grafik , da erscheint der Download. Dann musst du das Tool nicht kaufen, sondern einfach ab und zu "System reinigen" anklicken. Dann das Tool wieder aus dem Autostart nehmen Start<Ausfuehren<msconfig<Systemstart das Haekchen vor Winsweep rausnehmen. 4. Lade den "eScan" erstelle vorher eine C:\ base und entpacke dort den Scanner http://www.mwti.net/antivirus/free_utilities.asp suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein) Start<Ausfuehren< %temp% Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen) #Gehe unbedingt in den abgesicherten Modus (!) http://www.bsi.de/av/texte/winsave.htm #suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken. #Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde...denn die DIALER muessen manuellgeloescht werden (!) und das neue Log vom HijackThis noch mal. (aber mit dem IE, nicht mit dem Firefox) Tip: 5.Aendere eventuell vorhandene Passworte 6.Lade den Browser <Firefox< und surfe nur mit ihm http://www.firebird-browser.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 05.09.2004 um 21:06 Uhr von Sabina editiert.
|
|
|
||
06.09.2004, 18:52
Member
Beiträge: 441 |
#15
@ n0rf
Hallo, überprüfe diese Dateien bei http://www.kaspersky.com/de/remoteviruschk.html und poste das Ergebnis: C:\WINDOWS\System32\w32sup.exe C:\WINDOWS\system32\ntnc32.exe C:\WINDOWS\msnv32.exe C:\WINDOWS\system32\javayz32.exe __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
mal wieder ein PC-Analphabet am verzweifeln! :-)
sobald ich online gehe macht mein AntiVir Guard folgende Warnungen:
Zitat
wobei der Trojaner Spy.Tofger.BI.2 auch in den Dateien APPLP32.EXE, MFCEG32.EXE, APIAB32.EXE, NETGQ32.EXE, IEEO32.EXE, etc, etc zu finden ist.Egal ob ich die Dateien lösche oder in Quarantäne stelle, diese Warnungen kommen bei jedem Öffnen eines neuen Explorer-Fensters.
Ich habe schon im abgesicherten Modus Antivir, CW-Shredder, Search&Destroy, Ad-Aware und eScan laufen lassen. Aber auch wenn sie was finden, die Trojaner gehen nicht weg!
Ich hab leider trotz aufmerksamen Lesen des Vorworts immer noch nicht kapiert, wie ich hier diese LogFile erstellen kann, um sie euch hier zu posten.
Vielen Dank für Eure Hilfe!
PS:Meine Google-Suche linkte mich nur auf weniger professionelle Foren, bei denen widersprüchliche Vorschläge gemacht wurden. Hier wurde mir schon mal toll geholfen, deswegen hoffe ich... :-)