Home » Viren, Trojaner & Malware Forum » trojan.errhijack - werde ich nicht los » Themenansicht

trojan.errhijack - werde ich nicht los
#0
22.09.2004, 16:28
jim99
Member

Beiträge: 14
#1 Norton Anti Virus hat den Trojaner trojan.errhijack bei mir entdeckt. Ich habe ihn gemäß folgender Anleitung (vermeintlich) entfernt:
http://securityresponse.symantec.com/avcenter/venc/data/trojan.errhijack.html

Allerdings habe ich vergessen den "System Restore" vorher zu deaktivieren.

Jetzt findet Norton den Virus nicht mehr (die Datei hatte ich nach dem 1. Scan auch gelöscht). Der Internet Explorer öffnet aber immer noch eine Adult-Seite, wenn ich einen Link eingebe, der nicht existiert.

Kann mir jemand helfen?
Seitenanfang Seitenende
26.09.2004, 20:37
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @jim99

Lade das HijackThis, scanne, save und kopiere das Log ins Forum.
http://www.wintotal.de/softw/?id=2022
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2005, 23:30
jim99
Member

Themenstarter

Beiträge: 14
#3 Hallo Sabina!

War drei Monate im Urlaub, daher erst jetzt das Log:

Logfile of HijackThis v1.99.0
Scan saved at 23:20:02, on 08.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Quicktime\qttask.exe
D:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\qletar.exe
C:\WINDOWS\System32\CTFMON.EXE
D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
C:\Programme\U.S. Robotics\SureConnect ADSL Utility\USRSureConnect.exe
D:\Iomega\Tools_NT\IMGICON.EXE
D:\Palm\HOTSYNC.EXE
C:\Programme\CompuServe 3.0\CompuServe Starterkit 3.0\CSODialer.exe
C:\WINDOWS\sllights.exe
D:\FIREFOX\FIREFOX.EXE
C:\Programme\Outlook Express\MSIMN.EXE
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://web.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\win32st.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] d:\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] d:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [tivqdv] C:\WINDOWS\System32\qletar.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [SpySweeper] d:\Webroot\Spy Sweeper\SpySweeper.exe /0
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4 - Global Startup: U.S. Robotics SureConnect ADSL-Dienstprogramm.lnk = ?
O4 - Global Startup: Iomega - Startoptionen.lnk = D:\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = D:\Iomega\Tools_NT\IMGICON.EXE
O4 - Global Startup: Refresh.lnk = D:\Iomega\Tools_NT\REFRESH.EXE
O4 - Global Startup: Splash.lnk = D:\Iomega\Tools_NT\SPLASH.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287
d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa
805fc5355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54BEBE0E-413F-49E2-92BE-AC3529BE644E}: NameServer = 205.188.146.145
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: IomegaAccess - Iomega Corporation - d:\Iomega\Tools_NT\IOMEGAACCESS.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - D:\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe
Dieser Beitrag wurde am 09.01.2005 um 00:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.01.2005, 00:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@jim99

Start<Ausfuehren --> kopier rein:

regsvr32 /u "%System%\win32st.dll"

klicke "enter"


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R3 - URLSearchHook: MailTo Class - {FDE3577A-6254-181C-4E11-339E4F746BD3} - C:\WINDOWS\System32\win32st.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [tivqdv] C:\WINDOWS\System32\qletar.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc356
5fee97b287d3b2a64de55b67e90e1783d691843786455d91
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php

<Delete File on Reboot

Kopiere in die Killbox:
C:\WINDOWS\System32\qletar.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINDOWS\localNRD.dll
C:\WINDOWS\System32\win32st.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2005, 04:30
jim99
Member

Themenstarter

Beiträge: 14
#5 Wenn ich das:

Start<Ausfuehren --> kopier rein:

regsvr32 /u "%System%\win32st.dll"

klicke "enter"


mache, kommt die Meldung:

LoadLibrary ("%System%\win32st.dll") fehlgeschlagen - Das angegebene Modul wurde nicht gefunden.
Seitenanfang Seitenende
10.01.2005, 10:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 o.k. dann arbeite den Rest ab und berichte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.01.2005, 21:47
jim99
Member

Themenstarter

Beiträge: 14
#7 Mon Jan 10 19:50:56 2005 => File C:\WINDOWS\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:50:57 2005 => File C:\WINDOWS\UnstSA2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:50:57 2005 => File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:23 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\conscorr.cab infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:27 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\THI3D93.tmp\localNrd.cab infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:27 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\THI3D93.tmp\localNRD.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:27 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\THI3D93.tmp\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:27 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\THI3D93.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:27 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:34 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\O9SDGV2P\CComm[1].dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:41 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\KHEJSH2Z\bridge-c1[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:47 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\6HWXAVUN\WinSync[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:54:47 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\6HWXAVUN\SyncroAd[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:55:05 2005 => File C:\Program Files\Windows SyncroAd\CComm.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 19:55:05 2005 => File C:\info6_s.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:05:48 2005 => File C:\Windows\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:05:48 2005 => File C:\Windows\UnstSA2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:05:49 2005 => File C:\Windows\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:02 2005 => File C:\Programme\Web_Rebates\disp1150.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:04 2005 => File C:\TEMP\msbb.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:04 2005 => File C:\TEMP\WebRebates_Auto_InstallSilent_Euro.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:04 2005 => File C:\TEMP\msbbhook.dll infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:04 2005 => File C:\TEMP\Installer2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:14:05 2005 => File C:\TEMP\lc.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:39 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\conscorr.cab infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:43 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\THI3D93.tmp\localNrd.cab infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:43 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\THI3D93.tmp\localNRD.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:43 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\THI3D93.tmp\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:43 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\THI3D93.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:43 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:50 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9SDGV2P\CComm[1].dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:17:57 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHEJSH2Z\bridge-c1[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:18:03 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HWXAVUN\WinSync[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:18:03 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HWXAVUN\SyncroAd[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:16 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007300.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:16 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007301.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:16 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007302.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:17 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007303.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:17 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007304.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:17 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP11\A0007306.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:24 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP12\A0007398.EXE infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:24 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP12\A0007399.dll infected by "not-a-virus:AdWare.BiSpy.n" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:20:24 2005 => File C:\System Volume Information\_restore{7EE71087-3B94-4715-93D6-A616A5FBEAF7}\RP12\A0007400.dll infected by "Trojan.Win32.StartPage.ih" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:28:08 2005 => Scanning Folder: D:\AVPersonal\INFECTED\*.*
Mon Jan 10 20:49:21 2005 => File C:\WINDOWS\2_0_1browserhelper2.dll infected by "TrojanClicker.Win32.Delf.r" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:49:22 2005 => File C:\WINDOWS\UnstSA2.exe infected by "TrojanDropper.Win32.Delf.z" Virus. Action Taken: No Action Taken.
Mon Jan 10 20:49:22 2005 => File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Mon Jan 10 20:51:54 2005 => ***** Checking for specific ITW Viruses *****
Mon Jan 10 20:51:54 2005 => Checking for Welchia Virus...
Mon Jan 10 20:51:54 2005 => Checking for LovGate Virus...
Mon Jan 10 20:51:54 2005 => Checking for CodeRed Virus...
Mon Jan 10 20:51:54 2005 => Checking for OpaServ Virus...
Mon Jan 10 20:51:54 2005 => Checking for Sobig.e Virus...
Mon Jan 10 20:51:54 2005 => Checking for Winupie Virus...
Mon Jan 10 20:51:54 2005 => Checking for Swen Virus...
Mon Jan 10 20:51:54 2005 => Checking for JS.Fortnight Virus...
Mon Jan 10 20:51:54 2005 => Checking for Novarg Virus...
Mon Jan 10 20:51:54 2005 => Checking for Pagabot Virus...
Mon Jan 10 20:51:54 2005 => Checking for Parite.b Virus...
Mon Jan 10 20:51:54 2005 => Checking for Parite.a Virus...

Mon Jan 10 20:51:54 2005 => ***** Scanning complete. *****

Mon Jan 10 20:51:54 2005 => Total Files Scanned: 55628
Mon Jan 10 20:51:54 2005 => Total Virus(es) Found: 47
Mon Jan 10 20:51:54 2005 => Total Disinfected Files: 0
Mon Jan 10 20:51:54 2005 => Total Files Renamed: 0
Mon Jan 10 20:51:54 2005 => Total Deleted Files: 0
Mon Jan 10 20:51:54 2005 => Total Errors: 6
Mon Jan 10 20:51:54 2005 => Time Elapsed: 01:02:42
Mon Jan 10 20:51:54 2005 => Virus Database Date: 2005/01/07
Mon Jan 10 20:51:54 2005 => Virus Database Count: 114833

Mon Jan 10 20:51:54 2005 => Scan Completed.
Seitenanfang Seitenende
11.01.2005, 11:56
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo@jim99

Mache folgendes:

KillBox
http://www.bleepingcomputer.com/files/killbox.php

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

<Delete File on Reboot

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\THI3D93.tmp\polall1l.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\conscorr.exe
C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\UnstSA2.exe
C:\WINDOWS\preInsln.exe
C:\Program Files\Windows SyncroAd\CComm.dll
C:\info6_s.cab
C:\Programme\Web_Rebates\disp1150.exe
C:\TEMP\msbb.exe
C:\TEMP\WebRebates_Auto_InstallSilent_Euro.exe
C:\TEMP\msbbhook.dll
C:\TEMP\Installer2.exe
C:\TEMP\lc.exe

PC neustarten---> in den abgesicherten MODUS

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (loesche nicht die index.dat)
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
---------------------------------------------------------------------------------------------------

Dann scanne noch mal mit esCan und berichte + poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.01.2005 um 12:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.01.2005, 02:53
jim99
Member

Themenstarter

Beiträge: 14
#9 Hallo Sabina:

hier das Ergebnis von eScan:

Wed Jan 12 00:49:34 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\O9SDGV2P\CComm[1].dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 00:49:41 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\KHEJSH2Z\bridge-c1[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 00:49:47 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\6HWXAVUN\WinSync[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 00:49:47 2005 => File C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\6HWXAVUN\SyncroAd[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 01:10:44 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O9SDGV2P\CComm[1].dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 01:10:51 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHEJSH2Z\bridge-c1[1].cab infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 01:10:57 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HWXAVUN\WinSync[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 01:10:58 2005 => File C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6HWXAVUN\SyncroAd[1].exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
Wed Jan 12 01:20:14 2005 => Scanning Folder: D:\AVPersonal\INFECTED\*.*


Wed Jan 12 01:43:23 2005 => Total Files Scanned: 52816
Wed Jan 12 01:43:23 2005 => Total Virus(es) Found: 8
Wed Jan 12 01:43:23 2005 => Total Disinfected Files: 0
Wed Jan 12 01:43:23 2005 => Total Files Renamed: 0
Wed Jan 12 01:43:23 2005 => Total Deleted Files: 0
Wed Jan 12 01:43:23 2005 => Total Errors: 1
Wed Jan 12 01:43:23 2005 => Time Elapsed: 01:28:05
Wed Jan 12 01:43:23 2005 => Virus Database Date: 2005/01/07
Wed Jan 12 01:43:23 2005 => Virus Database Count: 114833

Wed Jan 12 01:43:23 2005 => Scan Completed.


Meiner Meinung nach habe ich den Inhalt von Content.IE5 bis auf die index.dat gelöscht. Jetzt kann ich den Ordner allerdings nicht mehr finden.


Das Ergebnis von hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 02:30:27, on 12.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://web.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] D:\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "D:\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MMTray] d:\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = D:\Adobe\Acrobat5.0\Distillr\AcroTray.exe
O4 - Global Startup: U.S. Robotics SureConnect ADSL-Dienstprogramm.lnk = ?
O4 - Global Startup: Iomega - Startoptionen.lnk = D:\Iomega\Tools_NT\STARTNT.EXE
O4 - Global Startup: Iomega-Symbole.lnk = D:\Iomega\Tools_NT\IMGICON.EXE
O4 - Global Startup: Refresh.lnk = D:\Iomega\Tools_NT\REFRESH.EXE
O4 - Global Startup: Splash.lnk = D:\Iomega\Tools_NT\SPLASH.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: Win32 Classes -
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O23 - Service: IomegaAccess - Iomega Corporation - d:\Iomega\Tools_NT\IOMEGAACCESS.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\SYSTEM32\ZONELABS\vsmon.exe
O23 - Service: ZipToA - Unknown - C:\WINDOWS\System32\ZipToA.exe

Das Hauptproblem (unerwünschtes Anzeigen von Adult-Seiten durch den Explorer) ist scheinbar gelöst.

Dafür schon einmal ganz herzlichen Dank!!
Seitenanfang Seitenende
12.01.2005, 12:33
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@jim99

die C:\DOKUME~1\CHRIST~1\LOKALE~1\TEMPOR~1\Content.IE5\
muessten noch geleert werden , also:

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner
----------------------------------------------------------------------------

Start<Ausfuehren --> schreibe rein: cmd

dann schreibe in DOS : del temp --> bestaetige mit yes (oder ja)
----------------------------------------------------------------------------

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"
---------------------------------------------------------------------------
dann: update dein System auf SP1 oder SP2 , was nur geht, wenn du eine gueltige cdkey von XP hast

#Patches, Service Packs und Tools (XP)
http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6
--------------------------------------------------------------------------

Surfe nicht mehr mit dem IE , sondern nur noch mit Firefox:
#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.01.2005 um 12:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.01.2005, 17:54
jim99
Member

Themenstarter

Beiträge: 14
#11 Hallo Sabina:

Du glaubst gar nicht, wie dankbar ich Dir bin!!!

Noch zwei Fragen:

Was meinst Du hiermit? Soll ich es einfach auf "deaktiviert" stehen lassen?
Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"

Kannst Du mir ein Anti-Viren-Programm empfehlen?
Seitenanfang Seitenende
12.01.2005, 18:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 #Antivirus (free)--> jeden Tag updaten und bei der Installation den Guard aktivieren
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.01.2005, 11:41
jim99
Member

Themenstarter

Beiträge: 14
#13 Super, vielen Dank!

Was ich hier

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"


machen soll, habe ich leider immer noch nicht verstanden.
Es ist deaktiviert. Muss ich also nichts mehr ändern?
Seitenanfang Seitenende
14.01.2005, 12:21
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 er soll deaktiviert sein , wenn er es ist --> o.k ;)

Gruss
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.01.2005 um 10:13 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.01.2005, 16:35
jim99
Member

Themenstarter

Beiträge: 14
#15 Ich nehme an, Du meintest jetzt am Schluss deaktiviert.

Falls nicht, kannst Du ja nochmal Bescheid geben.

Vielen Dank noch einmal! Du hast mir sehr geholfen!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12