Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
14.04.2005, 16:44
...neu hier
Beiträge: 3 |
||
|
||
14.04.2005, 17:48
Ehrenmitglied
Beiträge: 29434 |
#152
Hallo@Zia2k5
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 (nach der Reinigung aktiviere sie wieder) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS Unix Binary] win32ttb.exe O4 - HKLM\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run O4 - HKLM\..\Run: [Windows Services] servicex.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [MotherBoard Sounds] sounds.exe O4 - HKLM\..\RunServices: [MS Unix Binary] win32ttb.exe O4 - HKLM\..\RunServices: [Windows Services] servicex.exe O4 - HKLM\..\RunServices: [MotherBoard Sounds] sounds.exe O4 - HKCU\..\Run: [MS Unix Binary] win32ttb.exe O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run O4 - HKCU\..\Run: [MotherBoard Sounds] sounds.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" c:\programme\avpersonal\infected\win32ttb.exe.vir c:\programme\avpersonal\infected\wuampd.vir C:\Program Files\WebSpecials\webspec.dll C:\WINDOWS\System32\outlookupdate3778.exe C:\WINDOWS\System32\outlookupdate 3779.exe C:\rell.REG C:\mtu.bat C:\re12.reg C:\re11.reg C:\WINDOWS\System32\msnupdate.exe C:\UNMT.EXE C:\WINDOWS\System32\mspd.exe C:\WINDOWS\System32\servicex.exe C:\WINDOWS\System32\sounds.exe C:\WINDOWS\System32\win32ttb.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe c:\spiele\cs!!!!!\hltv.exe c:\windows\logi_mwx.exe c:\windows\system32\winsupdater.exe NEUSTARTEN Leere den Papierkorb und ueberpruefe, ob das geloescht ist: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp #TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner •Trend-Micro (Online)--> berichte vom Scann http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php dann poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 15:09
...neu hier
Beiträge: 3 |
#153
So, ich habe alle Schritte verfolgt und in der tat scheint es nun besser zu gehen, meine Verbindung scheint nun stabiler zu sein und mein Ping ist niedriger.
Trend-Micro hatte 14 Infektionen gefunden: Troj_Lowzones.BK 1 Infektion Worm_Rbot.BCZ 1 Infektion Reg_Lowzones.A 12 Infektionen Ich habe dann danach die Infektionen entfernt. HijackThis: Logfile of HijackThis v1.99.1 Scan saved at 15:09:30, on 15.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Winamp\winampa.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Lexmark 2200 Series\lxbvbmon.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Netropa\InetKb\Inetkb.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\TuneUp Utilities 2004\Integrator.exe C:\Programme\Java\j2re1.4.2_04\bin\java.exe C:\Programme\Opera75\opera.exe C:\Programme\Teamspeak2_RC2\TeamSpeak.exe C:\Dokumente und Einstellungen\Zia\Desktop\virus problem\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bf2.net/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe" O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KeyBoard] C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{CDB6049C-DA77-4CC3-81E2-7562E3EEAB6A}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
15.04.2005, 15:16
Ehrenmitglied
Beiträge: 29434 |
#154
Hallo@Zia2k5
#TuneUp2004 (30 Tage free) http://www.tuneup.de/products/tuneup-utilities/ Cleanup repair -->TuneUp Diskcleaner Cleanup repair -->Registry Cleaner CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp Onlinescann http://www.pcpitstop.com/freescan/ Onlinescann http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm ------------------------------------ Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen Windows Worms Doors Cleaner http://www.firewallleaktester.com/wwdc.htm Die meisten der Würmer, nutzen bekannte Verwundbarkeiten bei Windowsdiensten die standardmäßig eingestellt sind und nicht ohne weiteres über die Betriebssystemeinstellungen deaktiviert werden können. Selbst wenn diese Dienste durch Microsoft Sicherheitskorrekturen behoben werden, im Allgemeinen sind sie trotzdem dem Internet ausgesetzt, bereit um vom nächsten exploit ausgenutzt zu werden. Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. Installation über Windows Update (Internet) www.windowsupdate.com 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.04.2005, 18:47
Member
Beiträge: 14 |
#155
Hi Sabina!
also ich hab jetzt zig mal versucht das sp2 zu instalieren. aber es treten immer wieder fehler auf und es wird dann abgebroch. ich hab mir ne cd mit sp2 im pc laden besorgt und es 2 mal bei ms runtergeladen. brachte alles nichts. jedesmal fehlerhaft installiert. hab auch win xp nochmal ganz neu installiert. sp2 lässt sich trotzdem nicht installieren. nach wie vor ist kein pop up blocker instlliert und trotzdem block der pc alles pop ups :-( gruss Pythagoras |
|
|
||
16.04.2005, 17:39
Ehrenmitglied
Beiträge: 29434 |
#156
Hallo@Pythagoras
Das ist nun nicht mehr so mein "Gebiet", aber berichte mal bitte, welche Fehlermeldung kommt, wenn du SP2 installierst. Kann es sein, dass die Yahoo-Toolbar die PopUps blockt ? Ich kenn mich da nicht so aus, weil ich nie irgendso was installiere...... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2005, 15:00
Member
Beiträge: 14 |
#157
Hi Sabina!
nein, yahoo blocked da nix. und auch sonst ist nichts zu finden. sp2 sagt immer was von ner beschädigten datei oder das es ne datei nicht finden kann. hab jetzt aber shcon versucht auf zig unterschiedlichen wegen das ding zu instaliieren. kann doch nicht sein das das alles nicht geht, oder? lg |
|
|
||
17.04.2005, 15:39
Ehrenmitglied
Beiträge: 29434 |
#158
Hallo@Pythagoras
Welche datei kann SP2 denn nicht finden ? __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
17.04.2005, 17:31
Member
Beiträge: 14 |
#159
hey kleine!
habs mir nicht notiert. dann müsste ich es nochmal instllieren um dir das genau zu sagen. hab ja die cd hier liegen. machst du das hier eigentlich so nebenbei? oder warum ahst du so die ahnung? gruss Pythagoras |
|
|
||
18.04.2005, 11:36
Ehrenmitglied
Beiträge: 29434 |
#160
Zitat Pythagoras postete nun, "klein" bin ich eigentlich nicht mehr (die Zeiten sind vorbei Das SP2 ist wichtig, also poste mal bitte, was nicht klappt ....... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2005, 13:02
...neu hier
Beiträge: 2 |
#161
Hallo!
Ich bin neu hier, weil ich gerade versuche, den Rechner von meinem Cousin zu retten! Finde toll, welch super Service hier geboten wird! Mein Cousin hat ebenfalls Probleme mit lowzones.ap. er benutzt antivir und den scan im abgesicherten modus habe ich bereits erfolglos gemacht! Hier ist der hijack scan mit der großen bitte um hilfe! Danke schonmal! Logfile of HijackThis v1.99.1 Scan saved at 12:11:43, on 18.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\Explorer.EXE C:\ATI-CPanel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Winamp\winampa.exe C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe C:\Programme\QuickTime\qttask.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\nvcva.exe C:\Programme\AVPersonal\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\Dokumente und Einstellungen\Tim Sekels\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing) O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Tech\Wheel Mouse\5.0\MOUSE32A.EXE O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [Win32 nvc] nvcva.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Win32 nvc] nvcva.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [Win32 nvc] nvcva.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe O4 - Global Startup: KODAK Software Updater.lnk = C:\Programme\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O17 - HKLM\System\CCS\Services\Tcpip\..\{1FCF6EC8-2C7D-4A4C-A667-BD9DA078281F}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
|
|
||
18.04.2005, 15:57
Ehrenmitglied
Beiträge: 29434 |
#162
Hallo@Alstadener
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing) O2 - BHO: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKLM\..\Run: [updmgr] C:\Programme\Common files\updmgr\updmgr.exe O4 - HKLM\..\Run: [WeatherOnTray] C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe O4 - HKLM\..\Run: [Win32 nvc] nvcva.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Win32 nvc] nvcva.exe O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe<<-Virus:Bck/Msaol.A O4 - HKCU\..\Run: [Win32 nvc] nvcva.exe O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZS O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Programme\PerfectNav\BHO\PerfectNav150c.dll C:\Program Files\common files\keenvalue\kvlhookwin.dll C:\Program Files\common files\keenvalue\iesliderwin32.dll C:\Program Files\Common files\updater\wupdater.exe C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL C:\Programme\MyWebSearch\bar\1.bin\MWSBAR.DLL C:\Programme\MyWebSearch\bar\1.bin\mwsoemon.exe C:\Programme\Common files\updmgr\updmgr.exe C:\Programme\Hotbar\Bin\4.6.1.0\WeatherOnTray.exe C:\Programme\Gemeinsame Dateien\GMT\gtrawbm.fil C:\Programme\Gemeinsame Dateien\GMT\EGGCEngine.dll C:\Programme\Gemeinsame Dateien\GMT\egIEEngine.dll C:\Programme\Gemeinsame Dateien\GMT\EGIEProcess.dll C:\Programme\Gemeinsame Dateien\GMT\EGNSEngine.dll C:\Programme\Gemeinsame Dateien\GMT\GatorRes.dll C:\Programme\Gemeinsame Dateien\GMT\GatorStubSetup.exe C:\Programme\Gemeinsame Dateien\GMT\GUninstaller.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\nvcva.exe neustarten loeschen: C:\Programme\PerfectNav\ C:\Programme\MyWebSearch C:\Programme\Common files\updmgr C:\Programme\Hotbar\ C:\Programme\bho ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - index.dat Loeschen temporaere Dateien[/color] --> loesche die Dateien in den Ordnern, nicht die ordner selbst C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\username\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 [loesche nicht die index.dat) Onlinescanns (mache alle, die moeglich sind und berichte bitte von jedem) http://virus-protect.org/onlinescan.html dann deaktiviere die Wiederherstellung und poste das neue Log vom HijacktHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.04.2005, 17:29
...neu hier
Beiträge: 2 |
#163
Danke! Fahre morgen wieder zu meinem Cousin und führe die Schritte durch! Hoffe, es klappt!
Vielen Dank schonmal! |
|
|
||
20.04.2005, 12:09
...neu hier
Beiträge: 2 |
#164
hallo sabrina. ich habe leider auch den Low.Zone.ap
und bekomme ihn leider nicht weg. und viel ahnung von computern habe ich leider auch nicht. ich hoffe du kannst mir irgendwie weiterhelfen. hier die logdatei von hijackthis: Logfile of HijackThis v1.99.0 Scan saved at 11:54:28, on 20.04.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\MSAOL32.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen/...\Desktop\Tools\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=userinit.exe,xpjava.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{94144319-4C1C-4B9A-8D63-E2E046C9B872}: NameServer = 195.71.210.134 193.189.244.205 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe O23 - Service: TuneUp WinStyler Theme Service - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe ich danke dir jetzt schon |
|
|
||
20.04.2005, 12:58
Ehrenmitglied
Beiträge: 29434 |
#165
Hallo@Jimmy00
Suche deine XP-CD und formatiere und dann vergiss nicht, die WindowsUpdates zu machen: http://virus-protect.org/seite1.html -------------------------------------------------------------------------------- C:\WINDOWS\System32\xpjava.exe infected by "Backdoor.Win32.Rbot.gen # Ermöglicht Dritten den Zugriff auf den Computer # Lädt Code aus dem Internet herunter # Reduziert die Systemsicherheit # Speichert Tastenfolgen # Installiert sich in der Registrierung W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform. W32/Rbot-YC verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern sowie Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) und Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden. W32/Rbot-YC kann von einem remoten Angreifer über IRC-Kanäle gesteuert werden. Die Backdoor-Komponente von W32/Rbot-YC kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten: W32/Rbot-YC ist ein Netzwerkwurm mit Backdoor-Funktionalität für die Windows-Plattform. W32/Rbot-YC verbreitet sich über verschiedene Methoden, u. a. nutzt er einfache Kennwörter auf Computern und SQL-Servern sowie Betriebssystem-Schwachstellen (darunter DCOM-RPC, LSASS, WebDAV und UPNP) und Backdoors aus, die von anderen Würmern und Trojanern hinterlassen wurden. W32/Rbot-YC kann von einem remoten Angreifer über IRC-Kanäle gesteuert werden. Die Backdoor-Komponente von W32/Rbot-YC kann von einem remoten Anwender angewiesen werden, folgende Funktionen zu starten: Starten eines FTP-Servers Starten eines Proxyservers Starten eines Webservers Teilnehmen an Distributed-Denial-of-Service (DDoS)-Attacken Speichern von Tastenfolgen Erstellen von Bildschirm- und Webcam-Aufnahmen Packet-Sniffing Portscanning Herunterladen und Starten beliebiger Dateien Starten einer Remote-Shell (RLOGIN) Der Wurm kopiert sich in eine Datei namens "xpjava.exe" im Windows-Systemordner und erzeugt folgende Registrierungseinträge: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit userinit.exe,xpjava.exe Patches für die Betriebssystem-Schwachstellen, die von W32/Rbot-YC ausgenutzt werden, stehen von Microsoft zur Verfügung unter: http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx http://www.microsoft.com/technet/security/bulletin/ms03-039.mspx http://www.microsoft.com/technet/security/bulletin/ms03-007.mspx http://www.microsoft.com/technet/security/bulletin/ms01-059.mspx __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Scan Control Dumped @ 16:31:47 14-04-05
Live trojan found (in process memory): DCOM RPC Exploit
File: C:\WINDOWS\System32\servicex.exe
Live trojan found: DCOM RPC Exploit
File: C:\WINDOWS\System32\sounds.exe
RegVal Trace: RAT.Netbus 1.70 (Dropper.Memory): HKEY_LOCAL_MACHINE
File: SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SYSTRAY=C:\UNMT.EXE]
RegVal Trace: Worm.Randex please submit: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [Windows Services=servicex.exe]
RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=win32ttb.exe]
RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\Run [MS Unix Binary=win32ttb.exe]
RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\RunServices [MS Unix Binary=win32ttb.exe]
RegVal Trace: DDoS.RAT.rBot: HKEY_CURRENT_USER
File: Software\Microsoft\OLE [Windows services=servicex.exe]
RegVal Trace: DDoS.RAT.rBot: HKEY_LOCAL_MACHINE
File: Software\Microsoft\Windows\CurrentVersion\RunServices [Windows services=servicex.exe]
Suspicious Filename: Dual extensions
File: c:\dokumente und einstellungen\zia\eigene dateien\=daniel=\setupz\setupclonecd 4.4.3.1.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1121.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1122.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1123.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1124.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1126.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\1127.exe
Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp13.tmp
Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp14.tmp
Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp47.tmp
Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp48.tmp
Positive identification (DLL): Adware.WebSpecial.a (dll)
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4a.tmp
Positive identification: Adware.WebSpecial.a
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\tmp4b.tmp
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temp\temporary internet files\content.ie5\3xmf6mxl\bootios1[1].exe
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\n8qa41lf\bootios1[1].exe
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\dokumente und einstellungen\zia\lokale einstellungen\temporary internet files\content.ie5\zk5e6hwq\bootios1[1].exe
Positive identification: DDoS.RAT.rBot.awt
File: c:\programme\avpersonal\infected\win32ttb.exe.vir
Positive identification: DDoS.RAT.rBot.aej
File: c:\programme\avpersonal\infected\wuampd.vir
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc180.exe
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc50.exe
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc51.exe
Positive identification: Trojan.WinREG.LowZones.a Dropper.e
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc52.exe
Positive identification: Riskware.Proxy.Hltv
File: c:\recycler\s-1-5-21-117609710-1580818891-839522115-1003\dc41\hltv.exe
Positive identification: Riskware.Proxy.Hltv
File: c:\spiele\cs!!!!!\hltv.exe
Suspicious Filename: Dual extensions
File: c:\spiele\thrixxx\3d sexvilla\binaries\3dsexvilla-011.000.exe
Positive identification: TrojanDownloader.Win32.Agent.cp
File: c:\windows\logi_mwx.exe
Positive identification: DDoS.RAT.SDBot.ajl
File: c:\windows\system32\winsupdater.exe
Positive identification: TrojanDownloader.Win32.Small.apv
File: c:\windows\system32\config\systemprofile\lokale einstellungen\temporary internet files\content.ie5\g1a70t23\botremover[1].exe
Positive identification: Riskware.Tool.Destart
File: c:\windows\system32\tools\restart.exe
Log von Silent Runners:
"Silent Runners.vbs", revision 34, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"
Startup items buried in registry:
---------------------------------
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]
"Steam" = ""c:\programme\valve\steam\steam.exe" -silent" ["Valve Corporation"]
"Yahoo! Pager" = "C:\Programme\Yahoo!\Messenger\ypager.exe -quiet" [file not found]
"MS Unix Binary" = "win32ttb.exe" [file not found]
"WebSpecials" = "rundll32 "C:\Program Files\WebSpecials\webspec.dll",run" [MS]
"MotherBoard Sounds" = "sounds.exe" [null data]
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data]
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [null data]
"MULTIMEDIA KEYBOARD" = "C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe" ["Netropa Corp."]
"Logitech Utility" = "Logi_MwX.Exe" [null data]
"Lexmark 2200 Series" = ""C:\Programme\Lexmark 2200 Series\lxbvbmgr.exe"" ["Lexmark International, Inc."]
"FaxCenterServer" = ""C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s" [null data]
"Default" = (no data)
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -minimize" ["ICQ Ltd."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"KeyBoard" = "C:\PROGRA~1\Labtec\LABTEC~1\Keyboard.exe" [null data]
"MS Unix Binary" = "win32ttb.exe" [file not found]
"WebSpecials" = "rundll32 "C:\Program Files\WebSpecials\webspec.dll",run" [MS]
"Windows Services" = "servicex.exe" [null data]
"iTunesHelper" = "C:\Programme\iTunes\iTunesHelper.exe" ["Apple Computer, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SYSTRAY" = "C:\UNMT.EXE" [file not found]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k" [MS]
"AVGCtrl" = "C:\Programme\AVPersonal\AVGNT.EXE /min" ["H+BEDV Datentechnik GmbH"]
"MotherBoard Sounds" = "sounds.exe" [null data]
HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\Audiodev.dll" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{F367BD78-D2B5-459A-B775-9C14E06FCC3D}" = "Miranda Contact"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Miranda IM\Plugins\ShellFileSend.dll" [empty string]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
Enabled Wallpaper and Active Desktop:
-------------------------------------
Active Desktop is disabled.
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Zia\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"
Startup items in "Zia" & "All Users" startup folders:
-----------------------------------------------------
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
Winsock2 Service Provider DLLs:
-------------------------------
Namespace Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
Transport Service Providers
HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05
Toolbars, Explorer Bars, Extensions:
------------------------------------
Toolbars
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {CLSID}\(Default) = "ICQ Toolbar"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."]
Dormant Explorer Bars in "View, Explorer Bar" menu
HKLM\Software\Classes\CLSID\{BDEADE7F-C265-11D0-BCED-00A0C90AB50F}\
(Default) = "&Diskutieren"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "shdocvw.dll" [MS]
Extensions (Tools menu items, main toolbar menu buttons)
HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\System32\msjava.dll" [MS]
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ 4"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]
Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------
AntiVir Service, AntiVirService, "C:\Programme\AVPersonal\AVGUARD.EXE" ["H+BEDV Datentechnik GmbH"]
AntiVir Update, AVWUpSrv, ""C:\Programme\AVPersonal\AVWUPSRV.EXE"" ["H+BEDV Datentechnik GmbH, Germany"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
iPod Service, iPodService, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Computer, Inc."]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
Netropa NHK Server, nhksrv, "C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS]
Keyboard Driver Filters:
------------------------
HKLM\System\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
"UpperFilters" = INFECTION WARNING! "msikbd2k" ["Netropa Corporation"]
----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Das Programm F-Secure BlackLight Rootkit Elimination hat bei mir keine Log-File angeboten, ich habe scannen lassen und dann konnte ich nur weiter oder beenden...
MfG Zia[/b]