MSblast/Lovesan oder oder doch nicht |
||
---|---|---|
#0
| ||
11.09.2004, 23:54
Member
Beiträge: 15 |
||
|
||
12.09.2004, 00:03
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo @bratgitarre
Das ist nicht der Sasser.... vielleicht der :W32.Neveg.A@mm http://securityresponse.symantec.com/avcenter/venc/data/w32.neveg.a@mm.html Aber dazu muesste man das HijackThis sehen. Lade das HijackThis (ganz oben, auf der Site) scanne, save und kopiere das Log ins Forum. #HijackThis-Auswertung http://www.hijackthis.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.09.2004 um 00:06 Uhr von Sabina editiert.
|
|
|
||
14.09.2004, 21:49
Member
Themenstarter Beiträge: 15 |
#3
Hi,
hoffentlich hilft das weiter.. Acja, einen zusätzlichn Buttonbar im Browser hat er auch noch gehabt, der mit Spybot ebtfernt wurde. Unten im Log die Search Einträge im IE sehen aber nicht richtig sauber aus?! danke Bratgitarre Logfile of HijackThis v1.98.2 Scan saved at 22:20:36, on 13.09.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\ZoneLabs\vsmon.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\WinPortrait\wpctrl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINNT\system32\internat.exe C:\WINNT\agfguard.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe C:\Programme\WinPortrait\floater.exe C:\Programme\TELEDAT\WCOM\SYSTEM\ccsrv.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\PROGRA~1\WINZIP\winzip32.exe C:\unzipped\hijackthis1982\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://quick-searcher.com/sp.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {6340AC31-6364-4DEE-8F25-257BD160F95F} - C:\WINNT\system32\cpbp.dll (file missing) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [PivotSoftware] "C:\Programme\WinPortrait\wpctrl.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\TELEDAT\WCOM\SYSTEM\ccui.exe O4 - Global Startup: ISDN Guard.lnk = C:\WINNT\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:m*h*t*m*l:file://C*:*\fo*o*.*m*h*t!http://8*1.2*11.105.37/33/onli*ne.*chm::/on*-line.e*xe // edit by Lukas ... * - Zeichen hinzugefügt da sich sonst Antivir + IE drüber ärgern und Fehlalarme auslösen! O18 - Filter: text/html - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll O18 - Filter: text/plain - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll O21 - SSODL: eplrr - {6118AAAD-AA5D-4CA1-A069-61AF3DC09395} - C:\WINNT\system32\eplrr0.dll (file missing) __________ - Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de |
|
|
||
15.09.2004, 01:10
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo @bratgitarre
Deaktivieren Wiederherstellung http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 fixe mit dem HijackThis, dann neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://msaps.dll/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://msaps.dll/search.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmyrequest.com/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmyrequest.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://quick-searcher.com/sp.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = res://msaps.dll/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://searchmyrequest.com/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {6340AC31-6364-4DEE-8F25-257BD160F95F} - C:\WINNT\system32\cpbp.dll (file missing) O3 - Toolbar: (no name) - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - (no file) O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: {10003000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\foo.mht!http://81.211.105.37/11221/online.chm::/on-line.exe O18 - Filter: text/html - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll O18 - Filter: text/plain - {02DE1420-9F84-44EF-8188-64FAD3C3961D} - C:\WINNT\system32\cpbp.dll O21 - SSODL: eplrr - {6118AAAD-AA5D-4CA1-A069-61AF3DC09395} - C:\WINNT\system32\eplrr0.dll (file missing) neustarten LEERE FOLGENDE ORDNER: C:\Dokumente und Einstellungen\Default User\Cookies\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\*.* C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Verlauf\History.IE5\*.* #Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. Abgesicherter Modus http://www.bsi.de/av/texte/winsave.htm und den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken. http://www.mwti.net/antivirus/free_utilities.asp Poste danach Virus Log Information. und das neue Log vom HijackThis posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 15.09.2004 um 01:10 Uhr von Sabina editiert.
|
|
|
||
17.09.2004, 16:20
Member
Themenstarter Beiträge: 15 |
#5
Hi,
danke erstmal für die Infos. Ich habe das log schon bei www.hijackthis.de unterdie Lupe nehmen lassen und eine Menge entfernt. Was ist Escan? ist das ein Virenscanner? mfG Bratgitarre __________ - Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de |
|
|
||
18.09.2004, 01:18
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo bratgitarre
Du solltest genau das fixen, was ich gepostet hatte (!) dann neustarten und mit dem Antivirentol Escan scannen. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ein Freund hatte auf seinem W2k Rechner kurz nach dem booten die Meldung "SVChost.exe hat fehler verursacht" und der Rechner wird heruntergefahren, ohne das man irgendwas machen kann.
Klar habe ich gedacht: das ist MSblast
ich habe im abgesicherten Modus gestartet und alle MSBlast - EX Tools gestartet die ich frisch von den Antivir Firmen hatte. Aber keiner hat was gefunden, geschweige denn entfernt, auch Antivir mit aktuellen signaturen hat nix gefunden.
Nach dem Entfernen und umbenennen der Datei winwjn.exe aus der Registry (localmachine - Run)
war der Spuk vorbei. anschliessend das RPC Fix aufgespielt und alles lief rund.
leider meldet Zonealarm alle paar minuten, das winlogon.exe Daten verschicken will. Nu ist Winlogon die Win Anmeldung und ich bin mir nicht sicher ob das alles sein Richtigkeit hat.
thx Bratgitarre
__________
- Welches Parfüm benutzt Günther Jauch ? -www.MIDImedia.de