Home » Viren, Trojaner & Malware Forum » Trojanische Pferd TR/LowZones.A.2 » Themenansicht

Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.04.2005, 16:44
Zia2k5
...neu hier

Beiträge: 3
#151 Scandump:
Scan Control Dumped @ 16:31:47 14-04-05
Live trojan found (in process memory): DCOM RPC Exploit
File: C:\WINDOWS\System32\servicex.exe

Live trojan found: DCOM RPC Exploit
File: C:\WINDOWS\System32\sounds.exe

RegVal Trace: RAT.Netbus 1.70 (Dropper.Memory): HKEY_LOCAL_MACHINE
File: SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SYSTRAY=C:\UNMT.EXE]

RegVal Trace: Worm.Randex please submit: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [Windows Services=servicex.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=win32ttb.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=win32ttb.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\RunServices [MS Unix Binary=win32ttb.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER
File: Software\Microsoft\OLE [Windows services=servicex.exe]

RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\RunServices [Windows services=servicex.exe]

Suspicious Filename: Dual extensions
File: c:\dokumente und einstellungen\zia\eigene dateien\=daniel=\setupz\setupclonecd 4.4.3.1.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe

Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp

Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp

Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp

Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp

Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp

Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe

Positive identification: DDoS.RAT.rBot.awt
File: c:\programme\avpersonal\infected\win32ttb.exe.vir

Positive identification: DDoS.RAT.rBot.aej
File: c:\programme\avpersonal\infected\wuampd.vir

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe

Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe

Positive identification: Riskware.Proxy.Hltv
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe

Positive identification: Riskware.Proxy.Hltv
File: c:\spiele\cs!!!!!\hltv.exe

Suspicious Filename: Dual extensions
File: c:\spiele\thrixxx\3d sexvilla\binaries\3dsexvilla-011.000.exe

Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\windows\logi_mwx.exe

Positive identification: DDoS.RAT.SDBot.ajl
File: c:\windows\system32\winsupdater.exe

Positive identification: TrojanDownloader.Win32.Small.apv
File: c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe

Positive identification: Riskware.Tool.Destart
File: c:\windows\system32\tools\restart.exe

Log von Silent Runners:
"Silent Runners.vbs", revision 34, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Steam" = ""c:\programme\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"Yahoo! Pager" = "C:\Programme\Yahoo!\Messenger\ypager.exe -quiet" [file not found]
"MS Unix Binary" = "win32ttb.exe" [file not found]
"WebSpecials" = "rundll32 "C:\Program Files\WebSpecials\webspec.dll",run" [MS]
"MotherBoard Sounds" = "sounds.exe" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [null data]
"MULTIMEDIA KEYBOARD" = "C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" ["Netropa Corp."]
"Logitech Utility" = "Logi_MwX.Exe" [null data]
"Lexmark 2200 Series" = ""C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"" ["Lexmark International, Inc."]
"FaxCenterServer" = ""C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s" [null data]
"Default" = (no data)
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KeyBoard" = "C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe" [null data]
"MS Unix Binary" = "win32ttb.exe" [file not found]
"WebSpecials" = "rundll32 "C:\Program Files\WebSpecials\webspec.dll",run" [MS]
"Windows Services" = "servicex.exe" [null data]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SYSTRAY" = "C:\UNMT.EXE" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"MotherBoard Sounds" = "sounds.exe" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{F367BD78-D2B5-459A-B775-9C14E06FCC3D}" = "Miranda Contact"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Miranda IM\Plugins\ShellFileSend.dll" [empty string]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]


Enabled Wallpaper and Active Desktop:
-------------------------------------

Active Desktop is disabled.

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Zia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Zia" & "All Users" startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]

Dormant Explorer Bars in "View, Explorer Bar" menu

HKLM\Software\Classes\CLSID\{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}\
(Default) = "&Diskutieren"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ 4"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Netropa NHK Server, nhksrv, "C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]


Keyboard Driver Filters:
------------------------

HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "msikbd2k" ["Netropa Corporation"]


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------


Das Programm F-Secure BlackLight Rootkit Elimination hat bei mir keine Log-File angeboten, ich habe scannen lassen und dann konnte ich nur weiter oder beenden...

MfG Zia[/b]
Seitenanfang Seitenende
14.04.2005, 17:48
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#152 Hallo@Zia2k5

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
(nach der Reinigung aktiviere sie wieder)


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKLM\..\Run: [Windows Services] servicex.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MotherBoard Sounds] sounds.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe
O4 - HKLM\..\RunServices: [Windows Services] servicex.exe
O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe
O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - HKCU\..\Run: [MotherBoard Sounds] sounds.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

PC neustarten


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\programme\avpersonal\infected\win32ttb.exe.vir
c:\programme\avpersonal\infected\wuampd.vir

C:\Program Files\WebSpecials\webspec.dll

C:\WINDOWS\System32\outlookupdate3778.exe
C:\WINDOWS\System32\outlookupdate 3779.exe
C:\rell.REG
C:\mtu.bat
C:\re12.reg
C:\re11.reg
C:\WINDOWS\System32\msnupdate.exe
C:\UNMT.EXE
C:\WINDOWS\System32\mspd.exe

C:\WINDOWS\System32\servicex.exe
C:\WINDOWS\System32\sounds.exe
C:\WINDOWS\System32\win32ttb.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe

c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp

c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe
c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe

c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe

c:\spiele\cs!!!!!\hltv.exe
c:\windows\logi_mwx.exe
c:\windows\system32\winsupdater.exe

NEUSTARTEN

Leere den Papierkorb und ueberpruefe, ob das geloescht ist:

c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe

c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp
c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp

c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe
c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe
c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe

c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe
c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

•Trend-Micro (Online)--> berichte vom Scann
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 15:09
Zia2k5
...neu hier

Beiträge: 3
#153 So, ich habe alle Schritte verfolgt und in der tat scheint es nun besser zu gehen, meine Verbindung scheint nun stabiler zu sein und mein Ping ist niedriger.

Trend-Micro hatte 14 Infektionen gefunden:

Troj_Lowzones.BK 1 Infektion
Worm_Rbot.BCZ 1 Infektion
Reg_Lowzones.A 12 Infektionen

Ich habe dann danach die Infektionen entfernt.

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:09:30, on 15.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lexmark 2200 Series\lxbvbmon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\TuneUp Utilities 2004\Integrator.exe
C:\Programme\Java\j2re1.4.2_04\bin\java.exe
C:\Programme\Opera75\opera.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Dokumente und Einstellungen\Zia\Desktop\virus problem\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bf2.net/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDB6049C-DA77-4CC3-81E2-7562E3EEAB6A}: NameServer = 217.237.149.161 217.237.151.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
Seitenanfang Seitenende
15.04.2005, 15:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#154 Hallo@Zia2k5

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



Onlinescann
http://www.pcpitstop.com/freescan/

Onlinescann
http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

------------------------------------

Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen

Windows Worms Doors Cleaner
http://www.firewallleaktester.com/wwdc.htm

Die meisten der Würmer, nutzen bekannte Verwundbarkeiten bei Windowsdiensten die standardmäßig eingestellt sind und nicht ohne weiteres über die Betriebssystemeinstellungen deaktiviert werden können. Selbst wenn diese Dienste durch Microsoft Sicherheitskorrekturen behoben werden, im Allgemeinen sind sie trotzdem dem Internet ausgesetzt, bereit um vom nächsten exploit ausgenutzt zu werden.

Wie kann ich das Service Pack 2 installieren?

Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

Installation über Windows Update (Internet)

www.windowsupdate.com

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.04.2005, 18:47
Pythagoras
Member

Beiträge: 14
#155 Hi Sabina!

also ich hab jetzt zig mal versucht das sp2 zu instalieren. aber es treten immer wieder fehler auf und es wird dann abgebroch. ich hab mir ne cd mit sp2 im pc laden besorgt und es 2 mal bei ms runtergeladen. brachte alles nichts. jedesmal fehlerhaft installiert.

hab auch win xp nochmal ganz neu installiert. sp2 lässt sich trotzdem nicht installieren.

nach wie vor ist kein pop up blocker instlliert und trotzdem block der pc alles pop ups :-(

gruss Pythagoras
Seitenanfang Seitenende
16.04.2005, 17:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#156 Hallo@Pythagoras

Das ist nun nicht mehr so mein "Gebiet", aber berichte mal bitte, welche Fehlermeldung kommt, wenn du SP2 installierst.

Kann es sein, dass die Yahoo-Toolbar die PopUps blockt ? Ich kenn mich da nicht so aus, weil ich nie irgendso was installiere......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2005, 15:00
Pythagoras
Member

Beiträge: 14
#157 Hi Sabina!

nein, yahoo blocked da nix. und auch sonst ist nichts zu finden.

sp2 sagt immer was von ner beschädigten datei oder das es ne datei nicht finden kann.

hab jetzt aber shcon versucht auf zig unterschiedlichen wegen das ding zu instaliieren. kann doch nicht sein das das alles nicht geht, oder?

lg
Seitenanfang Seitenende
17.04.2005, 15:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#158 Hallo@Pythagoras

Welche datei kann SP2 denn nicht finden ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.04.2005, 17:31
Pythagoras
Member

Beiträge: 14
#159 hey kleine!

habs mir nicht notiert. dann müsste ich es nochmal instllieren um dir das genau zu sagen. hab ja die cd hier liegen.


machst du das hier eigentlich so nebenbei? oder warum ahst du so die ahnung?

gruss Pythagoras
Seitenanfang Seitenende
18.04.2005, 11:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#160

Zitat

Pythagoras postete
hey kleine!

habs mir nicht notiert. dann müsste ich es nochmal instllieren um dir das genau zu sagen. hab ja die cd hier liegen.

machst du das hier eigentlich so nebenbei? oder warum ahst du so die ahnung?

gruss Pythagoras


nun, "klein" bin ich eigentlich nicht mehr (die Zeiten sind vorbei ;)
Das SP2 ist wichtig, also poste mal bitte, was nicht klappt .......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2005, 13:02
Alstadener
...neu hier

Beiträge: 2
#161 Hallo!

Ich bin neu hier, weil ich gerade versuche, den Rechner von meinem Cousin zu retten! Finde toll, welch super Service hier geboten wird!

Mein Cousin hat ebenfalls Probleme mit lowzones.ap. er benutzt antivir und den scan im abgesicherten modus habe ich bereits erfolglos gemacht!

Hier ist der hijack scan mit der großen bitte um hilfe! Danke schonmal!

Logfile of HijackThis v1.99.1
Scan saved at 12:11:43, on 18.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works
Shared\WkUFind.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Winamp\winampa.exe
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\nvcva.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Kodak\KODAK Software
Updater\7288971\Program\backWeb-7288971.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus
154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Tim
Sekels\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.de/
R3 - URLSearchHook: PerfectNavBHO Class -
{00D6A7E7-4A97-456f-848A-3B75BF7554D7} -
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: MyWebSearch Search Assistant BHO -
{00A6FAF1-072E-44cf-8957-5838F569A31D} -
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} -
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} -
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} -
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} -
C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection]
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works
Shared\WkUFind.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL
SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MyWebSearch Email Plugin]
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe"
-atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
-TOnlineAutodialStart
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel
Mouse\5.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [WeatherOnTray]
C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [Win32 nvc] nvcva.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Win32 nvc] nvcva.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe"
/background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin]
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Win32 nvc] nvcva.exe
O4 - Startup: MyWebSearch Email Plugin.lnk =
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk =
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Kodak EasyShare Software.lnk =
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: KODAK Software Updater.lnk =
C:\Programme\Kodak\KODAK Software
Updater\7288971\Program\backWeb-7288971.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk =
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk =
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus
154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: &Search -
http://bar.mywebsearch.com/menusearch.html?p=ZS
O8 - Extra context menu item: Easy-WebPrint - Drucken -
res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck -
res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau -
res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen -
res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger -
{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should
be Internet Zone
O17 -
HKLM\System\CCS\Services\Tcpip\..\{1FCF6EC8-2C7D-4A4C-A667-BD9DA078281F}:
NameServer = 217.237.151.225 217.237.150.225
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik
GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH,
Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision -
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ScsiAccess - Unknown owner -
C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL
SpeedManager\tsmsvc.exe
Seitenanfang Seitenende
18.04.2005, 15:57
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#162 Hallo@Alstadener

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: PerfectNavBHO Class -
{00D6A7E7-4A97-456f-848A-3B75BF7554D7} -
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: MyWebSearch Search Assistant BHO -
{00A6FAF1-072E-44cf-8957-5838F569A31D} -
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} -
C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} -
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA}
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [MyWebSearch Email Plugin]
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe
O4 - HKLM\..\Run: [WeatherOnTray]
C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe
O4 - HKLM\..\Run: [Win32 nvc] nvcva.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Win32 nvc] nvcva.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin]
C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe<<-Virus:Bck/Msaol.A
O4 - HKCU\..\Run: [Win32 nvc] nvcva.exe
O4 - Startup: MyWebSearch Email Plugin.lnk =
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft
Office\Office10\OSA.EXE
O4 - Global Startup: MyWebSearch Email Plugin.lnk =
C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
O8 - Extra context menu item: &Search -
http://bar.mywebsearch.com/menusearch.html?p=ZS
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should
be Internet Zone

neustarten


•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\PerfectNav\BHO\PerfectNav150c.dll
C:\Program Files\common files\keenvalue\kvlhookwin.dll
C:\Program Files\common files\keenvalue\iesliderwin32.dll
C:\Program Files\Common files\updater\wupdater.exe
C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL
C:\Programme\MyWebSearch\bar\1.bin\mwsoemon.exe
C:\Programme\Common files\updmgr\updmgr.exe
C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe
C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil
C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll
C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll
C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe
C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\nvcva.exe

neustarten

loeschen:
C:\Programme\PerfectNav\
C:\Programme\MyWebSearch
C:\Programme\Common files\updmgr
C:\Programme\Hotbar\
C:\Programme\bho

ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- index.dat

Loeschen temporaere Dateien[/color] --> loesche die Dateien in den Ordnern, nicht die ordner selbst
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat)

Onlinescanns (mache alle, die moeglich sind und berichte bitte von jedem)
http://virus-protect.org/onlinescan.html

dann deaktiviere die Wiederherstellung und poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.04.2005, 17:29
Alstadener
...neu hier

Beiträge: 2
#163 Danke! Fahre morgen wieder zu meinem Cousin und führe die Schritte durch! Hoffe, es klappt!

Vielen Dank schonmal!
Seitenanfang Seitenende
20.04.2005, 12:09
Jimmy00
...neu hier

Beiträge: 2
#164 hallo sabrina. ich habe leider auch den Low.Zone.ap
und bekomme ihn leider nicht weg. und viel ahnung von computern
habe ich leider auch nicht. ich hoffe du kannst mir irgendwie weiterhelfen.
hier die logdatei von hijackthis:

Logfile of HijackThis v1.99.0
Scan saved at 11:54:28, on 20.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen/...\Desktop\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{94144319-4C1C-4B9A-8D63-E2E046C9B872}: NameServer = 195.71.210.134 193.189.244.205
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe

ich danke dir jetzt schon
Seitenanfang Seitenende
20.04.2005, 12:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#165 Hallo@Jimmy00

Suche deine XP-CD und formatiere und dann vergiss nicht, die WindowsUpdates zu machen:

http://virus-protect.org/seite1.html
--------------------------------------------------------------------------------

C:\WINDOWS\System32\xpjava.exe infected by "Backdoor.Win32.Rbot.gen

# Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Reduziert die Systemsicherheit
# Speichert Tastenfolgen
# Installiert sich in der Registrierung

W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-YC verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern sowie Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) und Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden.

W32/Rbot-YC kann von einem remoten Angreifer über IRC-Kanäle gesteuert werden. Die Backdoor-Komponente von W32/Rbot-YC kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:

W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform.

W32/Rbot-YC verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern sowie Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) und Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden.

W32/Rbot-YC kann von einem remoten Angreifer über IRC-Kanäle gesteuert werden. Die Backdoor-Komponente von W32/Rbot-YC kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten:

Starten eines FTP-Servers
Starten eines Proxyservers
Starten eines Webservers
Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken
Speichern von Tastenfolgen
Erstellen von Bildschirm- und Webcam-Aufnahmen
Packet-Sniffing
Portscanning
Herunterladen und Starten beliebiger Dateien
Starten einer Remote-Shell (RLOGIN)

Der Wurm kopiert sich in eine Datei namens "xpjava.exe" im Windows-Systemordner und erzeugt folgende Registrierungseinträge:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit
userinit.exe,xpjava.exe

Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-YC ausgenutzt werden, stehen von Microsoft zur Verfügung unter:

http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx
http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx
http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: