Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.04.2005, 13:35
...neu hier
Beiträge: 2 |
||
|
||
04.05.2005, 17:56
...neu hier
Beiträge: 1 |
#167
Logfile of HijackThis v1.99.1
Scan saved at 17:52:03, on 04.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe C:\WINDOWS\System32\gah95on6.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\MSAOL32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\MSMSN7.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\WINDOWS\System32\MSAOL32.exe C:\WINDOWS\System32\MSMSN7.exe C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Winamp\Winamp.exe C:\WINDOWS\System32\wuauclt.exe c:\op.exe c:\op.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\DaFuser\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [MS Unix Binary] outlookexpressupdate.exe O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Win32 Test] bleatest.exe O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKLM\..\RunServices: [USB Hardware32c Monitoring] USBhardware32c.exe O4 - HKLM\..\RunServices: [MS Unix Binary] outlookexpressupdate.exe O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKLM\..\RunServices: [Win32 Test] bleatest.exe O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe O4 - HKCU\..\Run: [Win32 Test] bleatest.exe O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {DFC84B00-4B1B-4980-BD36-A2CE1A07AC4F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {DFC84B00-4B1B-4980-BD36-A2CE1A07AC4F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {0878B424-1F95-4E26-B5AB-F0D349D89650} - http://download.bargain-buddy.net/download/bargain_buddy/cab/installer_MEDIAWHIZ5.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildAppNonUS.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing) hilfee der virus nerft habs nschon mit scn in abgesichertem modus gemacht ihr seid meien letze hile ! |
|
|
||
05.05.2005, 13:18
Ehrenmitglied
Beiträge: 29434 |
#168
Hallo2D4Fus3r
DER VIRUS .....Das ist wohl ein Witz...dein PC besteht nur aus Backdoors, Wurnern und Viren.... Nimm diese Virenschleuder aus dem Netz und formatiere. Auf meiner Seite findest du die Anregungen dazu. http://virus-protect.org/seite1.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2005, 15:57
...neu hier
Beiträge: 3 |
#169
Servus,
habe auch ein problem mit dem lowzones.ap virus. habe schon eniges versucht was hier beschrieben ist. habe auch seit einigen minuten ruhe vor meinem antivir guard. wäre aber trotzdem super lieb wenn mal jemand über das log-file schauen könnte... Logfile of HijackThis v1.99.1 Scan saved at 15:51:49, on 08.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\--Programme--\antivir\AVGUARD.EXE D:\--Programme--\antivir\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINNT\System32\testtts.exe D:\--Programme--\dvbt\bin\Server4PC.exe C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe C:\WINNT\System32\devldr32.exe D:\--Programme--\Rainlendar\Rainlendar.exe D:\--PROG~1\ICQ\ICQ.exe D:\--Programme--\antivir\AVGNT.EXE D:\--Programme--\mozilla\firefox.exe G:\--Fertige Dowloads--\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\--Programme--\areader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\--Programme--\dtools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [ATIUpdater] atiupdxx.exe O4 - HKLM\..\Run: [Windows Compliant] txkprj.exe O4 - HKLM\..\Run: [Mirabilis ICQ] D:\--PROG~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [TTS Sync] testtts.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKLM\..\Run: [AVGCtrl] D:\--Programme--\antivir\AVGNT.EXE /min O4 - HKLM\..\RunServices: [ATIUpdater] atiupdxx.exe O4 - HKLM\..\RunServices: [Windows Compliant] txkprj.exe O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\Run: [ATIUpdater] atiupdxx.exe O4 - HKCU\..\Run: [Windows Compliant] txkprj.exe O4 - HKCU\..\Run: [TTS Sync] testtts.exe O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\RunServices: [ATIUpdater] atiupdxx.exe O4 - Startup: BridgeMon.lnk = C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe O4 - Startup: Rainlendar.lnk = D:\--Programme--\Rainlendar\Rainlendar.exe O4 - Global Startup: Microsoft Office.lnk = D:\--Programme--\office\Office\OSA9.EXE O4 - Global Startup: Server4PC.lnk = D:\--Programme--\dvbt\bin\Server4PC.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\--PROG~1\OFFICE~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4CEF6CE2-2F58-4A0F-9520-3FC9ABEEFC4D}: NameServer = 62.27.27.62 62.27.53.66 O17 - HKLM\System\CS1\Services\Tcpip\..\{4CEF6CE2-2F58-4A0F-9520-3FC9ABEEFC4D}: NameServer = 62.27.27.62 62.27.53.66 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\--Programme--\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\--Programme--\antivir\AVWUPSRV.EXE O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINNT\System32\hwclock.exe (file missing) |
|
|
||
08.05.2005, 19:49
Ehrenmitglied
Beiträge: 29434 |
#170
Hallo@sero23
Alles Viren und Wuermer vom Feinsten Nimm deine CD und formatiere...... F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit32.exe O4 - HKLM\..\Run: [Windows Compliant] txkprj.exe O4 - HKLM\..\Run: [ATIUpdater] atiupdxx.exe O4 - HKLM\..\Run: [TTS Sync] testtts.exe O4 - HKLM\..\Run: [salm] c:\temp\salm.exe O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKLM\..\RunServices: [ATIUpdater] atiupdxx.exe O4 - HKLM\..\RunServices: [Windows Compliant] txkprj.exe O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\Run: [ATIUpdater] atiupdxx.exe O4 - HKCU\..\Run: [Windows Compliant] txkprj.exe O4 - HKCU\..\Run: [TTS Sync] testtts.exe O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe O4 - HKCU\..\RunServices: [ATIUpdater] atiupdxx.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2005, 20:09
...neu hier
Beiträge: 3 |
#171
sonst hilft nix???
kann man meinen rechner nicht noch irgendwie retten?? |
|
|
||
08.05.2005, 20:12
Ehrenmitglied
Beiträge: 29434 |
#172
nein, ich denke nein. Er ist voellig verseucht und nicht nur die exe, die du siehst, sondern Rootkits, geoeffnete Ports usw.
Ein Wunder ist es nicht--> du hast keine WindowsUpdates geladen..... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
08.05.2005, 20:14
...neu hier
Beiträge: 3 |
#173
ich weiß. mit den win-updates habe ich schlechte erfahrungen. genauso mit dem sp2. darunter läuft meine tv-karte nicht.
hab leider im moment keine zeit meinen rechner zu formatieren. ich brauche ne übergangslösung für die nächsten zwei wochen... habe grad mal mit dem hijack die einträge gefixed die er mir als böshaft bescheinigt. dann noch die dazugehörigen reg-einträge gelöscht und es scheint erstmal wieder zu gehen... hier mein neues logfile. vielleicht findest du noch was.... Logfile of HijackThis v1.99.1 Scan saved at 22:58:54, on 08.05.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\System32\Ati2evxx.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\--Programme--\antivir\AVGUARD.EXE D:\--Programme--\antivir\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\Ati2evxx.exe C:\WINNT\SYSTEM32\Userinit.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe D:\--Programme--\antivir\AVGNT.EXE D:\--Programme--\dvbt\bin\Server4PC.exe C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe D:\--Programme--\Rainlendar\Rainlendar.exe C:\WINNT\System32\devldr32.exe G:\--Fertige Dowloads--\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\--Programme--\areader\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\--Programme--\dtools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Mirabilis ICQ] D:\--PROG~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe O4 - HKLM\..\Run: [AVGCtrl] D:\--Programme--\antivir\AVGNT.EXE /min O4 - Startup: BridgeMon.lnk = C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe O4 - Startup: Rainlendar.lnk = D:\--Programme--\Rainlendar\Rainlendar.exe O4 - Global Startup: Microsoft Office.lnk = D:\--Programme--\office\Office\OSA9.EXE O4 - Global Startup: Server4PC.lnk = D:\--Programme--\dvbt\bin\Server4PC.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\--PROG~1\OFFICE~1\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\--Programme--\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\--Programme--\antivir\AVWUPSRV.EXE O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINNT\System32\hwclock.exe (file missing) Dieser Beitrag wurde am 08.05.2005 um 23:03 Uhr von sero23 editiert.
|
|
|
||
18.05.2005, 10:10
...neu hier
Beiträge: 4 |
#174
ich hatte gestern auch Probleme mit dem TR/Lowzones.A Trojaner nu wollt eich mich vergewissern ob er auch weg ist
Hier die Hijack Logfile: Logfile of HijackThis v1.99.1 Scan saved at 09:57:39, on 18.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Winamp\winampa.exe C:\Programme\OpenOffice.org 1.9.79\program\soffice.exe C:\Programme\OpenOffice.org 1.9.79\program\soffice.BIN C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\mIRC\mirc.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\DjMorti.MORTICIAN\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pfalz-metal.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MS UniX] navupdate64.exe O4 - Startup: OpenOffice.org 1.9.79.lnk = C:\Programme\OpenOffice.org 1.9.79\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B02825E5-A936-4E8E-8822-50E79C076DEF}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Danke schon mal im Vorraus! __________ www.deadfall.org - We Will Metal You |
|
|
||
18.05.2005, 11:50
Ehrenmitglied
Beiträge: 29434 |
#175
Hallo@DjMorti
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS UniX] navupdate64.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe O4 - HKCU\..\Run: [MS UniX] navupdate64.exe neustarten CCleaner--> loesche alle *temp-Datein http://www.ccleaner.com/ccdownload.asp Lade , scanne und starte den PC neu http://bilder.informationsarchiv.net/Nikitas_Tools/PeperFix.exe loesche: navupdate64.exe C:\UNMT.EXE blank.html re12.reg re11.reg mtu.bat outlookupdate3778.exe outlookupdate3779.exe mtrslib2.js Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt mache Onlinescanns (+ berichte)Trend-Micro/HouseCall und Panda http://virus-protect.org/onlinescan.html ---------------------------- INFO: Trojan.LowZones 【 在 daynine (0110|) 的大作中提到: 】 : 中标了,深感荣幸 : 症状: : 在C盘根目录下自动生成outlookupdate3778.exe和outlookupdate3779.exe两文件 : \WINXP下有个mtu.bat的批处理 : 内容: : @echo off : REGEDIT.EXE /S re11.REG : REGEDIT.EXE /S re12.reg : blank.html regedit.exe/s re12.reg regedit.exe/s re11.reg ㅇ 주로 아래와 같은 악의적인 목적을 위해 작성된 다른 파일과 함께 SFX(Self Extract) 압축형식으로 압축되어 있다. -blank.html -re12.reg -re11.reg -mtu.bat ㅇ blank.html 은 아래와 같은 악성 자바 스크립트를 실행을 시도 한다. - mtrslib2.js : Exploit.CodeBase 로 진단. Der Trojaner legt eine HTML-Datei namens mt.html im Programme-Ordner ab und führt sie aus. Die HTML-Datei enthält ein eingebettetes JavaScript, das eine Datei namens mtrslib2.js auf einer remoten URL öffnet. Die Datei mtrslib2.js wiederum nutzt die Codebase-Schwachstelle aus, um eine Datei auf den Computer des Opfers herunterzuladen. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ => 0 : 내 컴퓨터 => 1 : 로컬 인터라넷 => 2 : 신뢰할 수 있는 사이트 => 3 : 인터넷 => 4 : 제한된 사이트 위와 같은 Zones의 하위키인 0, 1, 2, 3, 4 키에 대한 값들을 아래와 같이 변경한다. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2 "1004"=dword:00000000 "1201"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 "1004"=dword:00000000 "1201"=dword:00000000 "1406"=dword:00000000 "1A04"=dword:00000000 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4 "1004"=dword:00000000 "1201"=dword:00000000 "1001"=dword:00000000 "1200"=dword:00000000 "1400"=dword:00000000 "1606"=dword:00000000 "1607"=dword:00000000 dword:00000000 "1004"=dword:00000000 : "1200"=dword:00000000 : ActiveX "1201"=dword:00000000 : "1400"=dword:00000000 : Active "1606"=dword:00000000 : "1A04"=dword:00000000 : - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults =>"http"=dword:00000000 - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run => SYSTRAY = "C:\UNMT.EXE" Trojan.LowZones로 이전글 Win32.HLLW.ForBot.Based 다음글 Trojan.WinShow.28672 --------------------------------------------------- __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2005, 16:01
...neu hier
Beiträge: 4 |
#176
so hab mal allles durchgeführt
schaut denk ich ganz gut aus. Logfile of HijackThis v1.99.1 Scan saved at 15:58:34, on 18.05.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Winamp\winampa.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\OpenOffice.org 1.9.79\program\soffice.exe C:\Programme\OpenOffice.org 1.9.79\program\soffice.BIN C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Opera\opera.exe C:\Programme\mIRC\mirc.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Hijack\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pfalz-metal.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Startup: OpenOffice.org 1.9.79.lnk = C:\Programme\OpenOffice.org 1.9.79\program\quickstart.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{B02825E5-A936-4E8E-8822-50E79C076DEF}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe __________ www.deadfall.org - We Will Metal You |
|
|
||
18.05.2005, 17:14
Ehrenmitglied
Beiträge: 29434 |
#177
Hallo@DjMorti
Das sieht gut aus Hast du wirklich alles gefunden, was zu loeschen war? Und hast du die Online-Scans gemacht ? Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt ----------------- Du solltest unbedingt die WindowsUpdates laden, also SP2, dein PC ist voellig ungeschuetzt....du arbeitest dazu mit Outlook..... wenn du das nicht in Ordnung bringst, wirst du hier Dauergast __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2005, 19:10
...neu hier
Beiträge: 4 |
#178
reg11 & outlookupdate3778.exe hab ich net gefunden zum löschen
Ja habe Onlinescans durchgeführt hatte noch 3 Würmer gefunden die ich dann gleich entfernt habe. Hier die log.txt C:\ PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\DivX.dll: PEC2 Files Found in all users startup Folder............ ------------------------ Files Found in all users windows Folder............ ------------------------ Finished bye __________ www.deadfall.org - We Will Metal You Dieser Beitrag wurde am 18.05.2005 um 19:16 Uhr von DjMorti editiert.
|
|
|
||
18.05.2005, 19:49
Ehrenmitglied
Beiträge: 29434 |
#179
es ist alles o.k. nun vergiss nicht die WindowsUpdates
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
18.05.2005, 20:26
...neu hier
Beiträge: 4 |
#180
Ich danke nochmals für die schnelle & professionelle Hilfe
__________ www.deadfall.org - We Will Metal You |
|
|
||
Ich hab schon so oft formatieren lassen und kann es nicht mehr hören.
Ich habe den Kaspersky Personal Antivirus gehabt. und der hat sich dann irgendwie selbstständig gemacht. er war zwar noch installiert aber war nicht aktiv und ich hab das wohl ziemlich spät gemerkt und habe wohl tagelang ohne sicherheit gesurft. hab mir die viren daher geholt.
naja trotzdem danke für dich schnelle antwort.
dann muss ich eben formatieren. was solls. :-)