Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.05.2005, 18:51
...neu hier
Beiträge: 3 |
||
|
||
21.05.2005, 00:42
Ehrenmitglied
Beiträge: 29434 |
#182
Hallo@Asgron
Wenn du die WindowsUpdates gemacht haettest, waere dein PC jetzt bestimmt "besser drauf"....... #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [cGmjoxO] C:\WINDOWS\xampats.exe O4 - HKLM\..\Run: [cGm8àaöž–˜"¦] C:\WINDOWS\xampats.exe O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe run O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe" O4 - HKLM\..\RunServices: [Windows Compliant] jldlbf.exe O4 - HKCU\..\Run: [Windows Compliant] jldlbf.exe O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34 O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34 PC neustarten •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\jldlbf.exe C:\Temp\optimize.EXE C:\Temp\optimize312[1].EXE C:\WINDOWS\iopti130.dll C:\WINDOWS\nem207.dll C:\WINDOWS\nem212.dll C:\WINDOWS\nem214.dll C:\WINDOWS\wsem210.dll C:\WINDOWS\wsem216.dll C:\Program Files\Internet Optimizer\optimize.exe C:\Program Files\Internet Optimizer\actalert.exe C:\WINDOWS\xampats.exe C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe C:\Program Files\AutoUpdate\AutoUpdate.exe PC neustarten C:\Program Files\AutoUpdate <--loeschen CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html Mache den onlinscan Panda+ berichte , was gefunden wurde http://virus-protect.org/onlinescan.html Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt ------------- C:\WINDOWS\dumpreg.exe <---ueberpruefe diese exe (Erstellungsdatum usw.) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2005, 12:17
...neu hier
Beiträge: 3 |
#183
Der Online-scan blieb leider ohne erfolg, da beim scannen eine fehlermeldung angezeigt wird!
Das C:\log.txt : C:\Dokumente und Einstellungen\Alexander.BEAST\Eigene Dateien\Zeuchs PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE. Files Found in system Folder............ ------------------------ C:\WINDOWS\system32\TFTP1676: UPX! C:\WINDOWS\system32\TFTP1768: UPX! C:\WINDOWS\system32\TFTP2124: UPX! C:\WINDOWS\system32\TFTP1452: FSG! C:\WINDOWS\system32\TFTP2624: FSG! C:\WINDOWS\system32\TFTP2656: FSG! C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\TFTP1264: PEC2 C:\WINDOWS\system32\TFTP944: PEC2 C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213 C:\WINDOWS\system32\TFTP1264: PEC2 C:\WINDOWS\system32\TFTP944: PEC2 Files Found in all users startup Folder............ ------------------------ C:\WINDOWS\system32\TFTP1676: UPX! C:\WINDOWS\system32\TFTP1768: UPX! C:\WINDOWS\system32\TFTP2124: UPX! C:\WINDOWS\system32\TFTP1452: FSG! C:\WINDOWS\system32\TFTP2624: FSG! C:\WINDOWS\system32\TFTP2656: FSG! Files Found in all users windows Folder............ ------------------------ Finished bye dumpreg.exe kann auf dem rechner nicht gefunden werden! Ich hätt noch ne frage zur Datei : ruejs (taucht auch nach dem löschen immer wieder auf dem rechner auf in C:\ ) |
|
|
||
21.05.2005, 14:51
Ehrenmitglied
Beiträge: 29434 |
#184
Hallo@Asgron
Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten •Kaspersky-Online-einzelne Dateien ueberpruefen http://www.kaspersky.com/remoteviruschk.html einzelne "exe" ueberpruefen virustotal http://www.virustotal.com/flash/index_en.html • Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/de/ C:\WINDOWS\system32\TFTP944 C:\WINDOWS\system32\TFTP1264 C:\WINDOWS\system32\TFTP1676 C:\WINDOWS\system32\TFTP1768 C:\WINDOWS\system32\TFTP2124 C:\WINDOWS\system32\TFTP1452 C:\WINDOWS\system32\TFTP2624 C:\WINDOWS\system32\TFTP2656 ---------------------------------------- Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2005, 18:09
...neu hier
Beiträge: 3 |
#185
Das ergebnis des scanns der datei ruejs.exe :
Scanned file: ruejs.exe ruejs.exe - infected by Trojan-Downloader.Win32.Small.aqt Die Ergebnisse der TFTP-Dateien: Datei: TFTP944 Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - AntiVir Keine Viren gefunden Avast Win32:Trojan-gen. {Other} gefunden AVG Antivirus IRC/BackDoor.SdBot.99.A gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.cz gefunden mks_vir Trojan.Rbot gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/Spybot.AMZ gefunden VBA32 Keine Viren gefunden Datei: TFTP1264 Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/Spybot.BVK gefunden VBA32 Keine Viren gefunden Datei: TFTP1676 Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH AntiVir Worm/SdBot.JG.1 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Trojan.Dam.A13 gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: TFTP1768 Status: EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.) Entdeckte Packprogramme: PE_PATCH AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: TFTP2124 Status: VIELLEICHT INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH AntiVir Worm/SdBot.JG.1 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control Keine Viren gefunden VBA32 Keine Viren gefunden Datei: TFTP1452 Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - AntiVir Worm/Blaster.B gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden Fortinet W32/Lovesan.A-mm gefunden Kaspersky Anti-Virus Worm.Win32.Lovesan.a gefunden mks_vir Worm.Blaster.A gefunden NOD32 Keine Viren gefunden Norman Virus Control Blaster.B gefunden VBA32 Worm.Win32.Lovesan.a gefunde Datei: TFTP2624 Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH, FSG AntiVir Worm/SdBot.71385 gefunden Avast Keine Viren gefunden AVG Antivirus IRC/BackDoor.SdBot.87.BT gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Win32.HLLW.MyBot gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 IRC/SdBot.ASL gefunden Norman Virus Control W32/Spybot.AKA gefunden VBA32 Keine Viren gefunden Datei: TFTP2656 Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH, FSG AntiVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden Dr.Web Win32.HLLW.MyBot gefunden F-Prot Antivirus Keine Viren gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Keine Viren gefunden mks_vir Keine Viren gefunden NOD32 Keine Viren gefunden Norman Virus Control W32/Spybot.AKA gefunden VBA32 Keine Viren gefund Und heir die einträge: Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC53-7765 Verzeichnis von C:\WINDOWS\system32 21.05.2005 13:56 7.168 rdriv.sys 20.05.2005 14:59 839 auto_update_uninstall.log 20.05.2005 14:59 233.472 auto_update_uninstall.exe 20.05.2005 14:58 102.400 ucswser.exe 17.05.2005 18:48 71 i 16.05.2005 21:16 0 TFTP3368 16.05.2005 16:26 0 TFTP3356 12.05.2005 15:59 16.832 amcompat.tlb 12.05.2005 15:59 23.392 nscompat.tlb 12.05.2005 14:54 2.184 wpa.dbl Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC53-7765 Verzeichnis von C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp 21.05.2005 17:59 512 ~DF3521.tmp 21.05.2005 17:53 49.160 ~WRS0000.tmp 21.05.2005 17:46 512 ~DFDE0D.tmp 21.05.2005 17:46 512 ~DFD384.tmp 4 Datei(en) 50.696 Bytes 0 Verzeichnis(se), 75.426.562.048 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC53-7765 Verzeichnis von C:\WINDOWS 21.05.2005 13:56 30.796 ModemLog_cFos DSL, Internet, PPPoE.txt 21.05.2005 13:56 0 0.log 21.05.2005 13:56 2.048 bootstat.dat 21.05.2005 13:45 32.626 SchedLgU.Txt 21.05.2005 12:09 208.974 ntbtlog.txt 21.05.2005 11:35 908.801 setupapi.log 20.05.2005 17:13 50 wiaservc.log 20.05.2005 17:13 216 wiadebug.log 20.05.2005 16:11 2.560 _MSRSTRT.EXE 20.05.2005 15:55 7.142 TMFilter.log 20.05.2005 14:57 517.168 ucmoreiex.exe 20.05.2005 14:57 48.768 edow.exe 20.05.2005 14:57 28.672 installer_SIAC.exe 20.05.2005 14:57 38.400 shop1004.exe 20.05.2005 14:57 75.912 stubinstaller5975.exe 20.05.2005 14:57 192.512 cxtpls_loader.exe 16.05.2005 16:24 49 NeroDigital.ini 12.05.2005 15:08 2.144 Windows Update.log 12.05.2005 15:05 27.484 CFSETUP.TXT 12.05.2005 14:57 7.015 Active Setup Log.txt 11.05.2005 14:50 12.656 ModemLog_Aztech SoftK56 Data Fax PCI Modem.txt Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: BC53-7765 Verzeichnis von C:\ 21.05.2005 18:05 0 sys.txt 21.05.2005 18:03 5.408 system.txt 21.05.2005 18:01 447 systemtemp.txt 21.05.2005 17:58 91.939 system32.txt 21.05.2005 13:56 7.680 ruejs.exe 21.05.2005 13:56 805.306.368 pagefile.sys |
|
|
||
21.05.2005, 21:17
Ehrenmitglied
Beiträge: 29434 |
#186
Asgron
•KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\ruejs.exe C:\WINDOWS\ucmoreiex.exe C:\WINDOWS\EDOW.EXE C:\WINDOWS\shop1004.exe C:\WINDOWS\Downloaded Program Files\setup4002b.ini C:\WINDOWS\cxtpls_loader.exe C:\WINDOWS\stubinstaller5975.exe C:\WINDOWS\system32\TFTP2124 C:\WINDOWS\system32\TFTP1768 C:\WINDOWS\system32\TFTP3368 C:\WINDOWS\system32\TFTP3356 C:\WINDOWS\system32\TFTP2656 C:\WINDOWS\system32\TFTP2624 C:\WINDOWS\system32\TFTP1452 C:\WINDOWS\system32\TFTP1676 C:\WINDOWS\system32\TFTP944 C:\WINDOWS\system32\ucswser.exe C:\WINDOWS\system32\rdriv.sys PC neustarten ueberpruefe, ob die Rootkit vom Backdoor wirklich geloescht ist. C:\WINDOWS\system32\rdriv.sys •Stinger (scannen) http://vil.nai.com/vil/stinger/ CCleaner ccleaner.com/ccdownload --> loesche alle *temp-Dateien http://virus-protect.org/temp.html C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe<--loeschen C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\<--loesche alles Dateien in diesem Ordner Mache Onlinescans (Panda und andere und berichte, was gefunden wurde) http://virus-protect.org/onlinescan.html Windows-Dienste abschalten! http://www.dingens.org/ Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen Windows Worms Doors Cleaner http://virus-protect.org/windsdoorcleaner.html -------------------------------------------------------------------------- INFO: W32/Sdbot-BPZ ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität für die Windows-Plattform. W32/Sdbot-BPZ verbindet sich mit einem vordefinierten IRC-Kanal und wartet auf weitere Befehle von remoten Anwendern. Der Wurm verbreitet sich über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind, über MS-SQL-Server und über verschiedene Betriebssystemschwachstellen. W32/Sdbot-BPZ legt außerdem eine Datei als rdriv.sys ab. Sophos Anti-Virus erkennt rdriv.sys als Troj/Rootkit-W. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.05.2005, 22:12
...neu hier
Beiträge: 4 |
#187
Guten Abend!
Habe auch schon einige Zeit das Problem dieses Trojaners und bin nun auf dieses Forum gestoßen. Würde mein HijackThis logfile auch gerne hier reinstellen, aber ich kann das Programm nicht öffnen. Es scheint genau wie NortonAntiVirus und die regedit geblockt zu werden... Würde mich riesig freuen, wenn jemand weiter weiß!!! Grüße Frank |
|
|
||
21.05.2005, 23:49
Ehrenmitglied
Beiträge: 29434 |
#188
Hallo@Frank2000
Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus einzeln reinkopieren: cd\ cd %windir%\system32 dir /a:-d /o:-d > %systemdrive%\system32.txt start %systemdrive%\system32.txt cls exit cd\ cd %temp%\ dir /a:-d /o:-d > %systemdrive%\systemtemp.txt start %systemdrive%\systemtemp.txt cls exit cd\ cd %windir% dir /a:-d /o:-d > %systemdrive%\system.txt start %systemdrive%\system.txt cls exit cd\ dir /a:-d /o:-d > %systemdrive%\sys.txt start %systemdrive%\sys.txt cls exit __________ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2005, 18:41
...neu hier
Beiträge: 5 |
#189
Hallo Leute!
Ich habe auch diesen dummen Trojaner LowZones (allerdings weiss ich nicht welche version.Norton zeigt mir das nicht an.) Eine file war in temporary internetfiles und eine andere hiess photos.exe Vielleicht könnt ihr mir helfen das loszuwerden Danke im Voraus Kilian Hier mein log von hijackthis: Logfile of HijackThis v1.99.1 Scan saved at 18:22:50, on 25.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINNT\system32\Logitech.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINNT\system32\internat.exe C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe D:\Downloads\HijackThis.exe C:\WINNT\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing) O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [Logitech] Logitech.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunServices: [Logitech] Logitech.exe O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe O4 - Global Startup: Anti-Virus&Spyware.lnk = C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O15 - Trusted Zone: http://*.windowsupdate.com O15 - Trusted Zone: http://ny.contentmatch.net (HKLM) O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe |
|
|
||
25.05.2005, 19:07
Ehrenmitglied
Beiträge: 29434 |
#190
Kilian81
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file) O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing) O4 - HKLM\..\Run: [Logitech] Logitech.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\RunServices: [Logitech] Logitech.exe O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O15 - Trusted Zone: http://ny.contentmatch.net (HKLM O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab PC neustarten Lade: rkfiles.zip http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip -->entpacken--> gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich das DOS-Fenster schliesst--->poste C:\log.txt •KillBox http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip Anleitung: (bebildert) http://virus-protect.org/killbox.html •Delete File on Reboot <--anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINNT\system32\Logitech.exe C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe C:\Temp\optimize.EXE C:\Temp\optimize312[1].EXE C:\Program Files\Internet Optimizer\optimize.exe C:\Program Files\Internet Optimizer\actalert.exe C:\WINNT\system32\winsystem.exe C:\WINNT\system32\Studio.exe C:\Programme\ISTbar\istbarcm.dll C:\WINDOWS\Downloaded Program Files\istactivex.dll C:\WINDOWS\Downloaded Program Files\ISTactivex.inf C:\Programme\ISTsvc\istsvc.exe C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe c:\programme\180solutions\sais.exe C:\Programme\SideFind\sidefind.dll PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe Command line version: Lade:fsblc.exe C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\<--loeschen c:\programme\180solutions<--loeschen C:\Programme\SideFind<--loeschen CCleaner--> loesche alle *temp-Datein http://virus-protect.org/temp.html windsdoorcleaner http://virus-protect.org/windsdoorcleaner.html Mache den onlinscan Panda+ berichte , was gefunden wurde http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2005, 21:31
...neu hier
Beiträge: 5 |
#191
Vielen Dank für die schnelle Hilfe. Ich denke mal das gröbste ist jetzt behoben
Dieses panda prog konnte ich mir leider nicht downloaden weil der browser immer geschlossen wird wenn ich es speichern will. Ansonsten kommen aber keine trojan meldungen mehr nach neustart. Vorher kam immer wenn ich den ie geöffnet habe trojan meldungen von norton. Und dieses Istbar is wohl auch weg. Ich glaub das hat mir das alles erst eingebrockt. mfG Kilian |
|
|
||
25.05.2005, 22:16
Ehrenmitglied
Beiträge: 29434 |
#192
Kilian81
dann poste mal das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2005, 22:31
...neu hier
Beiträge: 5 |
#193
Logfile of HijackThis v1.99.1
Scan saved at 22:29:56, on 25.05.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\wuauclt.exe C:\WINNT\ISW\netcol.dsl\signup\Tray.exe D:\Programme\ICQ\ICQLite\ICQLite.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Anti-Virus&Spyware.lnk = C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{2354A1CF-0D28-4CBD-9E58-5B082117A5E7}: NameServer = 213.168.112.60 194.8.194.60 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe Ich frage mich nur was internat.exe ist....bestimmt wieder son wurm |
|
|
||
25.05.2005, 23:27
Ehrenmitglied
Beiträge: 29434 |
#194
Kilian81
Windows_Protect winsystem.exe "Added by a variant of the RBOT WORM!" Fixe mit dem HijackTHIS; O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe neustarten •Desinfektion von W32/Agobot Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen) http://bilder.informationsarchiv.net/Nikitas_Tools/ loesche: winsystem.exe •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt oder mwav.log und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
26.05.2005, 01:08
...neu hier
Beiträge: 5 |
#195
Thu May 26 00:51:30 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken. Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sidefind !!! Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\sidefind !!! Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\microsoft\sidefind !!! Thu May 26 00:51:54 2005 => Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:57 2005 => Offending value found in HKCU\Software\powerscan !!! Thu May 26 00:51:57 2005 => Object "powerscan Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:57 2005 => Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istbar !!! Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\istbar !!! Thu May 26 00:51:57 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\DyFuCA !!! Thu May 26 00:51:57 2005 => Object "DyFuCA Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:58 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sais !!! Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\sais !!! Thu May 26 00:51:58 2005 => Object "sais Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!! Thu May 26 00:51:58 2005 => Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:58 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\kapabout !!! Thu May 26 00:51:58 2005 => Object "kapabout Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\ist !!! Thu May 26 00:51:58 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:59 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\Internet Optimizer !!! Thu May 26 00:51:59 2005 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:59 2005 => Offending value found in HKCU\Software\avenue media !!! Thu May 26 00:51:59 2005 => Offending value found in HKCU\Software\policies\avenue media !!! Thu May 26 00:51:59 2005 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:51:59 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!! Thu May 26 00:51:59 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:52:09 2005 => Offending Folder C:\DOKUME~1\KILIAN~1\FAVORI~1\Living present... Thu May 26 00:52:09 2005 => Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:52:10 2005 => System found infected with eZula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken. Thu May 26 00:52:10 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken. Thu May 26 00:52:18 2005 => System found infected with ISTsvc Spyware/Adware (shortcuts.txt)! Action taken: No Action Taken. Thu May 26 00:52:18 2005 => Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken. |
|
|
||
Aber ich bin ein absoluter Neuling auf diesem Gebiet und hab nich viel kapiert.
Außerdem habe ich noch andere probleme:
REG_LOWZONES.A (wird von meinem Antiviren-programm entdeckt und unter quarantäne gestellt)
- dann iritiet mich noch diese "jldlbf.exe"
- und noch ein paar andere Sachen wie das AutoUpdate, was ich schon mal gelöscht habe!
Aber ihr schaauts euch besser mal selber an!
Logfile of HijackThis v1.99.1
Scan saved at 18:38:59, on 20.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\dumpreg.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alexander.BEAST\Eigene Dateien\Zeuchs\Allerhand\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teleos-web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.teleos-web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Teleos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [cGmjoxO] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [cGm8àaöž–˜"¦] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe run
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] jldlbf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Compliant] jldlbf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.teleos-web.de
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
Bitte um hilfe wie ich das zeuch beseitigen kann.
Zur Errinerung: bin unwissend!
Also danke schon mal icm vorraus!