Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
20.04.2005, 13:35
...neu hier

Beiträge: 2
#166 Oh mein Gott!!! Gibts es da keinen anderen Ausweg???
Ich hab schon so oft formatieren lassen und kann es nicht mehr hören.
Ich habe den Kaspersky Personal Antivirus gehabt. und der hat sich dann irgendwie selbstständig gemacht. er war zwar noch installiert aber war nicht aktiv und ich hab das wohl ziemlich spät gemerkt und habe wohl tagelang ohne sicherheit gesurft. hab mir die viren daher geholt.
naja trotzdem danke für dich schnelle antwort.
dann muss ich eben formatieren. was solls. :-)
Seitenanfang Seitenende
04.05.2005, 17:56
...neu hier

Beiträge: 1
#167 Logfile of HijackThis v1.99.1
Scan saved at 17:52:03, on 04.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
C:\WINDOWS\System32\gah95on6.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\MSMSN7.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\MSAOL32.exe
C:\WINDOWS\System32\MSMSN7.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\System32\wuauclt.exe
c:\op.exe
c:\op.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\DaFuser\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CleanMyPC Popup Blocker - {7A9BC6B1-7F27-47c6-A66D-13582E81E537} - C:\Programme\CleanMyPC Popup Blocker\CleanBHO.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [ANIWZCSService] C:\Programme\Alpha Networks\ANIWZCS Service\WZCSLDR.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [gah95on6] C:\WINDOWS\System32\gah95on6.exe
O4 - HKLM\..\Run: [CSCRS Value] cscrs.exe
O4 - HKLM\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Win32 Test] bleatest.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [USB Hardware32c Monitoring] USBhardware32c.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKLM\..\RunServices: [CSCRS Value] cscrs.exe
O4 - HKLM\..\RunServices: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKLM\..\RunServices: [Win32 Test] bleatest.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MS Unix Binary] outlookexpressupdate.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [CSCRS Value] cscrs.exe
O4 - HKCU\..\Run: [Microsoft AOL Instant Messenger] MSAOL32.exe
O4 - HKCU\..\Run: [Win32 Test] bleatest.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\RunServices: [CSCRS Value] cscrs.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {DFC84B00-4B1B-4980-BD36-A2CE1A07AC4F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {DFC84B00-4B1B-4980-BD36-A2CE1A07AC4F} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {0878B424-1F95-4E26-B5AB-F0D349D89650} - http://download.bargain-buddy.net/download/bargain_buddy/cab/installer_MEDIAWHIZ5.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {FF65677A-8977-48CA-916A-DFF81B037DF3} - http://download.overpro.com/WildAppNonUS.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: ZESOFT - Unknown owner - C:\WINDOWS\zeta.exe (file missing)

hilfee der virus nerft habs nschon mit scn in abgesichertem modus gemacht ihr seid meien letze hile !
Seitenanfang Seitenende
05.05.2005, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#168 Hallo2D4Fus3r

DER VIRUS .....Das ist wohl ein Witz...dein PC besteht nur aus Backdoors, Wurnern und Viren....

Nimm diese Virenschleuder aus dem Netz und formatiere. Auf meiner Seite findest du die Anregungen dazu.
http://virus-protect.org/seite1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2005, 15:57
...neu hier

Beiträge: 3
#169 Servus,
habe auch ein problem mit dem lowzones.ap virus. habe schon eniges versucht was hier beschrieben ist. habe auch seit einigen minuten ruhe vor meinem antivir guard.
wäre aber trotzdem super lieb wenn mal jemand über das log-file schauen könnte...

Logfile of HijackThis v1.99.1
Scan saved at 15:51:49, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\--Programme--\antivir\AVGUARD.EXE
D:\--Programme--\antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINNT\System32\testtts.exe
D:\--Programme--\dvbt\bin\Server4PC.exe
C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
C:\WINNT\System32\devldr32.exe
D:\--Programme--\Rainlendar\Rainlendar.exe
D:\--PROG~1\ICQ\ICQ.exe
D:\--Programme--\antivir\AVGNT.EXE
D:\--Programme--\mozilla\firefox.exe
G:\--Fertige Dowloads--\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit32.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\--Programme--\areader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\--Programme--\dtools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ATIUpdater] atiupdxx.exe
O4 - HKLM\..\Run: [Windows Compliant] txkprj.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\--PROG~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [TTS Sync] testtts.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\--Programme--\antivir\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [ATIUpdater] atiupdxx.exe
O4 - HKLM\..\RunServices: [Windows Compliant] txkprj.exe
O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [ATIUpdater] atiupdxx.exe
O4 - HKCU\..\Run: [Windows Compliant] txkprj.exe
O4 - HKCU\..\Run: [TTS Sync] testtts.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\RunServices: [ATIUpdater] atiupdxx.exe
O4 - Startup: BridgeMon.lnk = C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
O4 - Startup: Rainlendar.lnk = D:\--Programme--\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = D:\--Programme--\office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = D:\--Programme--\dvbt\bin\Server4PC.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\--PROG~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4CEF6CE2-2F58-4A0F-9520-3FC9ABEEFC4D}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4CEF6CE2-2F58-4A0F-9520-3FC9ABEEFC4D}: NameServer = 62.27.27.62 62.27.53.66
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\--Programme--\antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\--Programme--\antivir\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINNT\System32\hwclock.exe (file missing)
Seitenanfang Seitenende
08.05.2005, 19:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#170 Hallo@sero23

Alles Viren und Wuermer vom Feinsten Achtung!
Nimm deine CD und formatiere......

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [Windows Compliant] txkprj.exe
O4 - HKLM\..\Run: [ATIUpdater] atiupdxx.exe
O4 - HKLM\..\Run: [TTS Sync] testtts.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKLM\..\RunServices: [ATIUpdater] atiupdxx.exe
O4 - HKLM\..\RunServices: [Windows Compliant] txkprj.exe
O4 - HKLM\..\RunServices: [TTS Sync] testtts.exe
O4 - HKLM\..\RunServices: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\Run: [ATIUpdater] atiupdxx.exe
O4 - HKCU\..\Run: [Windows Compliant] txkprj.exe
O4 - HKCU\..\Run: [TTS Sync] testtts.exe
O4 - HKCU\..\Run: [MS MSN Menssenger 7.0] MSMSN7.exe
O4 - HKCU\..\RunServices: [ATIUpdater] atiupdxx.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2005, 20:09
...neu hier

Beiträge: 3
#171 sonst hilft nix???
kann man meinen rechner nicht noch irgendwie retten??
Seitenanfang Seitenende
08.05.2005, 20:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#172 nein, ich denke nein. Er ist voellig verseucht und nicht nur die exe, die du siehst, sondern Rootkits, geoeffnete Ports usw.
Ein Wunder ist es nicht--> du hast keine WindowsUpdates geladen.....
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.05.2005, 20:14
...neu hier

Beiträge: 3
#173 ich weiß. mit den win-updates habe ich schlechte erfahrungen. genauso mit dem sp2. darunter läuft meine tv-karte nicht.
hab leider im moment keine zeit meinen rechner zu formatieren.
ich brauche ne übergangslösung für die nächsten zwei wochen...

habe grad mal mit dem hijack die einträge gefixed die er mir als böshaft bescheinigt. dann noch die dazugehörigen reg-einträge gelöscht und es scheint erstmal wieder zu gehen...

hier mein neues logfile. vielleicht findest du noch was....

Logfile of HijackThis v1.99.1
Scan saved at 22:58:54, on 08.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\--Programme--\antivir\AVGUARD.EXE
D:\--Programme--\antivir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\SYSTEM32\Userinit.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
D:\--Programme--\antivir\AVGNT.EXE
D:\--Programme--\dvbt\bin\Server4PC.exe
C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
D:\--Programme--\Rainlendar\Rainlendar.exe
C:\WINNT\System32\devldr32.exe
G:\--Fertige Dowloads--\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\--Programme--\areader\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\--Programme--\dtools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\--PROG~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\--Programme--\antivir\AVGNT.EXE /min
O4 - Startup: BridgeMon.lnk = C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
O4 - Startup: Rainlendar.lnk = D:\--Programme--\Rainlendar\Rainlendar.exe
O4 - Global Startup: Microsoft Office.lnk = D:\--Programme--\office\Office\OSA9.EXE
O4 - Global Startup: Server4PC.lnk = D:\--Programme--\dvbt\bin\Server4PC.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\--PROG~1\OFFICE~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\--PROG~1\ICQ\ICQ.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\--Programme--\antivir\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINNT\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\--Programme--\antivir\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINNT\System32\hwclock.exe (file missing)
Dieser Beitrag wurde am 08.05.2005 um 23:03 Uhr von sero23 editiert.
Seitenanfang Seitenende
18.05.2005, 10:10
...neu hier

Beiträge: 4
#174 ich hatte gestern auch Probleme mit dem TR/Lowzones.A Trojaner nu wollt eich mich vergewissern ob er auch weg ist
Hier die Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 09:57:39, on 18.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\OpenOffice.org 1.9.79\program\soffice.exe
C:\Programme\OpenOffice.org 1.9.79\program\soffice.BIN
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\mIRC\mirc.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\DjMorti.MORTICIAN\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pfalz-metal.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe
O4 - Startup: OpenOffice.org 1.9.79.lnk = C:\Programme\OpenOffice.org 1.9.79\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B02825E5-A936-4E8E-8822-50E79C076DEF}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Danke schon mal im Vorraus!
__________
www.deadfall.org - We Will Metal You
Seitenanfang Seitenende
18.05.2005, 11:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#175 Hallo@DjMorti

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKLM\..\Run: [MS UniX] navupdate64.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS UniX] navupdate64.exe
O4 - HKCU\..\Run: [MS UniX] navupdate64.exe

neustarten

CCleaner--> loesche alle *temp-Datein
http://www.ccleaner.com/ccdownload.asp



Lade , scanne und starte den PC neu
http://bilder.informationsarchiv.net/Nikitas_Tools/PeperFix.exe

loesche:
navupdate64.exe
C:\UNMT.EXE
blank.html
re12.reg
re11.reg
mtu.bat
outlookupdate3778.exe
outlookupdate3779.exe
mtrslib2.js

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

mache Onlinescanns (+ berichte)Trend-Micro/HouseCall und Panda
http://virus-protect.org/onlinescan.html






----------------------------

INFO:

Trojan.LowZones
【 在 daynine (0110|) 的大作中提到: 】
: 中标了,深感荣幸
: 症状:
: 在C盘根目录下自动生成outlookupdate3778.exe和outlookupdate3779.exe两文件
: \WINXP下有个mtu.bat的批处理
: 内容:
: @echo off
: REGEDIT.EXE /S re11.REG
: REGEDIT.EXE /S re12.reg
: blank.html

regedit.exe/s re12.reg
regedit.exe/s re11.reg

ㅇ 주로 아래와 같은 악의적인 목적을 위해 작성된 다른 파일과 함께 SFX(Self Extract) 압축형식으로 압축되어 있다.

-blank.html
-re12.reg
-re11.reg
-mtu.bat

ㅇ blank.html 은 아래와 같은 악성 자바 스크립트를 실행을 시도 한다.
- mtrslib2.js : Exploit.CodeBase 로 진단.

Der Trojaner legt eine HTML-Datei namens mt.html im Programme-Ordner ab und führt sie aus. Die HTML-Datei enthält ein eingebettetes JavaScript, das eine Datei namens mtrslib2.js auf einer remoten URL öffnet. Die Datei mtrslib2.js wiederum nutzt die Codebase-Schwachstelle aus, um eine Datei auf den Computer des Opfers herunterzuladen.


- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\
=> 0 : 내 컴퓨터
=> 1 : 로컬 인터라넷
=> 2 : 신뢰할 수 있는 사이트
=> 3 : 인터넷
=> 4 : 제한된 사이트

위와 같은 Zones의 하위키인 0, 1, 2, 3, 4 키에 대한 값들을 아래와 같이 변경한다.

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2
"1004"=dword:00000000
"1201"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3
"1004"=dword:00000000
"1201"=dword:00000000
"1406"=dword:00000000
"1A04"=dword:00000000

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4
"1004"=dword:00000000
"1201"=dword:00000000
"1001"=dword:00000000
"1200"=dword:00000000
"1400"=dword:00000000
"1606"=dword:00000000
"1607"=dword:00000000

dword:00000000
"1004"=dword:00000000 :
"1200"=dword:00000000 : ActiveX
"1201"=dword:00000000 :
"1400"=dword:00000000 : Active
"1606"=dword:00000000 :
"1A04"=dword:00000000 :

- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults
=>"http"=dword:00000000

- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
=> SYSTRAY = "C:\UNMT.EXE"

Trojan.LowZones로
이전글 Win32.HLLW.ForBot.Based
다음글 Trojan.WinShow.28672

---------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2005, 16:01
...neu hier

Beiträge: 4
#176 so hab mal allles durchgeführt

schaut denk ich ganz gut aus.

Logfile of HijackThis v1.99.1
Scan saved at 15:58:34, on 18.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\OpenOffice.org 1.9.79\program\soffice.exe
C:\Programme\OpenOffice.org 1.9.79\program\soffice.BIN
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\opera.exe
C:\Programme\mIRC\mirc.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.pfalz-metal.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: OpenOffice.org 1.9.79.lnk = C:\Programme\OpenOffice.org 1.9.79\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B02825E5-A936-4E8E-8822-50E79C076DEF}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
__________
www.deadfall.org - We Will Metal You
Seitenanfang Seitenende
18.05.2005, 17:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#177 Hallo@DjMorti

Das sieht gut aus ;) Hast du wirklich alles gefunden, was zu loeschen war? Und hast du die Online-Scans gemacht ?

Lade: rkfiles.zip

http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

-----------------

Du solltest unbedingt die WindowsUpdates laden, also SP2, dein PC ist voellig ungeschuetzt....du arbeitest dazu mit Outlook..... wenn du das nicht in Ordnung bringst, wirst du hier Dauergast Achtung!
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2005, 19:10
...neu hier

Beiträge: 4
#178 reg11 & outlookupdate3778.exe hab ich net gefunden zum löschen
Ja habe Onlinescans durchgeführt hatte noch 3 Würmer gefunden die ich dann gleich entfernt habe.

Hier die log.txt

C:\

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\DivX.dll: PEC2

Files Found in all users startup Folder............
------------------------
Files Found in all users windows Folder............
------------------------
Finished
bye
__________
www.deadfall.org - We Will Metal You
Dieser Beitrag wurde am 18.05.2005 um 19:16 Uhr von DjMorti editiert.
Seitenanfang Seitenende
18.05.2005, 19:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#179 es ist alles o.k. nun vergiss nicht die WindowsUpdates ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.05.2005, 20:26
...neu hier

Beiträge: 4
#180 Ich danke nochmals für die schnelle & professionelle Hilfe
__________
www.deadfall.org - We Will Metal You
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: