Trojanische Pferd TR/LowZones.A.2

#181 ich weiss, dass darüber schon diskutiert worden ist!
Aber ich bin ein absoluter Neuling auf diesem Gebiet und hab nich viel kapiert.
Außerdem habe ich noch andere probleme:
REG_LOWZONES.A (wird von meinem Antiviren-programm entdeckt und unter quarantäne gestellt)

- dann iritiet mich noch diese "jldlbf.exe"
- und noch ein paar andere Sachen wie das AutoUpdate, was ich schon mal gelöscht habe!

Aber ihr schaauts euch besser mal selber an!


Logfile of HijackThis v1.99.1
Scan saved at 18:38:59, on 20.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Trend Micro\PC-cillin 2002\WebTrap.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\dumpreg.exe
C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe
C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Alexander.BEAST\Eigene Dateien\Zeuchs\Allerhand\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teleos-web.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.teleos-web.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Teleos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Programme\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [cGmjoxO] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [cGm8àaöž–˜"¦] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe run
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] jldlbf.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Compliant] jldlbf.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.teleos-web.de
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34
O17 - HKLM\System\CS1\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: PC-cillin PersonalFirewall (PCCPFW) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\PCCPFW.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Inc. - C:\Programme\Trend Micro\PC-cillin 2002\Tmntsrv.exe


Bitte um hilfe wie ich das zeuch beseitigen kann.
Zur Errinerung: bin unwissend!
Also danke schon mal icm vorraus!

#182 Hallo@Asgron

Wenn du die WindowsUpdates gemacht haettest, waere dein PC jetzt bestimmt "besser drauf".......

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [cGmjoxO] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [cGm8àaöž–˜"¦] C:\WINDOWS\xampats.exe
O4 - HKLM\..\Run: [SAHBundle] C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe run
O4 - HKLM\..\Run: [AutoUpdater] "C:\Program Files\AutoUpdate\AutoUpdate.exe"
O4 - HKLM\..\RunServices: [Windows Compliant] jldlbf.exe
O4 - HKCU\..\Run: [Windows Compliant] jldlbf.exe
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c7.cab
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden.
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34
O17 - HKLM\System\CCS\Services\Tcpip\..\{63F43AAC-931F-4D08-808A-7306E7CDDDE0}: NameServer = 212.62.64.34 212.62.68.34

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\jldlbf.exe
C:\Temp\optimize.EXE
C:\Temp\optimize312[1].EXE
C:\WINDOWS\iopti130.dll
C:\WINDOWS\nem207.dll
C:\WINDOWS\nem212.dll
C:\WINDOWS\nem214.dll
C:\WINDOWS\wsem210.dll
C:\WINDOWS\wsem216.dll
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINDOWS\xampats.exe
C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe
C:\Program Files\AutoUpdate\AutoUpdate.exe

PC neustarten

C:\Program Files\AutoUpdate <--loeschen

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html

Mache den onlinscan Panda+ berichte , was gefunden wurde
http://virus-protect.org/onlinescan.html

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

-------------

C:\WINDOWS\dumpreg.exe <---ueberpruefe diese exe (Erstellungsdatum usw.)
__________
MfG Sabina

rund um die PC-Sicherheit

#183 Der Online-scan blieb leider ohne erfolg, da beim scannen eine fehlermeldung angezeigt wird!

Das C:\log.txt :

C:\Dokumente und Einstellungen\Alexander.BEAST\Eigene Dateien\Zeuchs

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
C:\WINDOWS\system32\TFTP1676: UPX!
C:\WINDOWS\system32\TFTP1768: UPX!
C:\WINDOWS\system32\TFTP2124: UPX!
C:\WINDOWS\system32\TFTP1452: FSG!
C:\WINDOWS\system32\TFTP2624: FSG!
C:\WINDOWS\system32\TFTP2656: FSG!
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\TFTP1264: PEC2
C:\WINDOWS\system32\TFTP944: PEC2
C:\WINDOWS\system32\dfrg.msc: AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAQAAAAAwGpEc213
C:\WINDOWS\system32\TFTP1264: PEC2
C:\WINDOWS\system32\TFTP944: PEC2

Files Found in all users startup Folder............
------------------------
C:\WINDOWS\system32\TFTP1676: UPX!
C:\WINDOWS\system32\TFTP1768: UPX!
C:\WINDOWS\system32\TFTP2124: UPX!
C:\WINDOWS\system32\TFTP1452: FSG!
C:\WINDOWS\system32\TFTP2624: FSG!
C:\WINDOWS\system32\TFTP2656: FSG!
Files Found in all users windows Folder............
------------------------
Finished
bye


dumpreg.exe kann auf dem rechner nicht gefunden werden!

Ich hätt noch ne frage zur Datei : ruejs (taucht auch nach dem löschen immer wieder auf dem rechner auf in C:\ )

#184 Hallo@Asgron

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


•Kaspersky-Online-einzelne Dateien ueberpruefen
http://www.kaspersky.com/remoteviruschk.html

einzelne "exe" ueberpruefen virustotal
http://www.virustotal.com/flash/index_en.html

•
Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/de/

C:\WINDOWS\system32\TFTP944
C:\WINDOWS\system32\TFTP1264
C:\WINDOWS\system32\TFTP1676
C:\WINDOWS\system32\TFTP1768
C:\WINDOWS\system32\TFTP2124
C:\WINDOWS\system32\TFTP1452
C:\WINDOWS\system32\TFTP2624
C:\WINDOWS\system32\TFTP2656

----------------------------------------

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
MfG Sabina

rund um die PC-Sicherheit

#185 Das ergebnis des scanns der datei ruejs.exe :
Scanned file: ruejs.exe
ruejs.exe - infected by Trojan-Downloader.Win32.Small.aqt


Die Ergebnisse der TFTP-Dateien:

Datei: TFTP944 Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
-
AntiVir Keine Viren gefunden
Avast Win32:Trojan-gen. {Other} gefunden
AVG Antivirus IRC/BackDoor.SdBot.99.A gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.Rbot.cz gefunden
mks_vir Trojan.Rbot gefunden
NOD32 Keine Viren gefunden
Norman Virus Control W32/Spybot.AMZ gefunden
VBA32 Keine Viren gefunden

Datei: TFTP1264 Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH
AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Spybot.BVK gefunden
VBA32
Keine Viren gefunden


Datei: TFTP1676 Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH
AntiVir
Worm/SdBot.JG.1 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Trojan.Dam.A13 gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden


Datei: TFTP1768 Status:
EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)
Entdeckte Packprogramme:
PE_PATCH
AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden



Datei: TFTP2124 Status:
VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH
AntiVir
Worm/SdBot.JG.1 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
VBA32
Keine Viren gefunden









Datei: TFTP1452 Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-
AntiVir
Worm/Blaster.B gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Lovesan.A-mm gefunden
Kaspersky Anti-Virus
Worm.Win32.Lovesan.a gefunden
mks_vir
Worm.Blaster.A gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Blaster.B gefunden
VBA32
Worm.Win32.Lovesan.a gefunde


Datei: TFTP2624 Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, FSG
AntiVir
Worm/SdBot.71385 gefunden
Avast
Keine Viren gefunden
AVG Antivirus
IRC/BackDoor.SdBot.87.BT gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Win32.HLLW.MyBot gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
IRC/SdBot.ASL gefunden
Norman Virus Control
W32/Spybot.AKA gefunden
VBA32
Keine Viren gefunden


Datei: TFTP2656 Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
PE_PATCH, FSG
AntiVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Win32.HLLW.MyBot gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
mks_vir
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
W32/Spybot.AKA gefunden
VBA32
Keine Viren gefund



Und heir die einträge:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC53-7765

Verzeichnis von C:\WINDOWS\system32

21.05.2005 13:56 7.168 rdriv.sys
20.05.2005 14:59 839 auto_update_uninstall.log
20.05.2005 14:59 233.472 auto_update_uninstall.exe
20.05.2005 14:58 102.400 ucswser.exe
17.05.2005 18:48 71 i
16.05.2005 21:16 0 TFTP3368
16.05.2005 16:26 0 TFTP3356
12.05.2005 15:59 16.832 amcompat.tlb
12.05.2005 15:59 23.392 nscompat.tlb
12.05.2005 14:54 2.184 wpa.dbl




Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC53-7765

Verzeichnis von C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp

21.05.2005 17:59 512 ~DF3521.tmp
21.05.2005 17:53 49.160 ~WRS0000.tmp
21.05.2005 17:46 512 ~DFDE0D.tmp
21.05.2005 17:46 512 ~DFD384.tmp
4 Datei(en) 50.696 Bytes
0 Verzeichnis(se), 75.426.562.048 Bytes frei

















Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC53-7765

Verzeichnis von C:\WINDOWS

21.05.2005 13:56 30.796 ModemLog_cFos DSL, Internet, PPPoE.txt
21.05.2005 13:56 0 0.log
21.05.2005 13:56 2.048 bootstat.dat
21.05.2005 13:45 32.626 SchedLgU.Txt
21.05.2005 12:09 208.974 ntbtlog.txt
21.05.2005 11:35 908.801 setupapi.log
20.05.2005 17:13 50 wiaservc.log
20.05.2005 17:13 216 wiadebug.log
20.05.2005 16:11 2.560 _MSRSTRT.EXE
20.05.2005 15:55 7.142 TMFilter.log
20.05.2005 14:57 517.168 ucmoreiex.exe
20.05.2005 14:57 48.768 edow.exe
20.05.2005 14:57 28.672 installer_SIAC.exe
20.05.2005 14:57 38.400 shop1004.exe
20.05.2005 14:57 75.912 stubinstaller5975.exe
20.05.2005 14:57 192.512 cxtpls_loader.exe
16.05.2005 16:24 49 NeroDigital.ini
12.05.2005 15:08 2.144 Windows Update.log
12.05.2005 15:05 27.484 CFSETUP.TXT
12.05.2005 14:57 7.015 Active Setup Log.txt
11.05.2005 14:50 12.656 ModemLog_Aztech SoftK56 Data Fax PCI Modem.txt



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: BC53-7765

Verzeichnis von C:\

21.05.2005 18:05 0 sys.txt
21.05.2005 18:03 5.408 system.txt
21.05.2005 18:01 447 systemtemp.txt
21.05.2005 17:58 91.939 system32.txt
21.05.2005 13:56 7.680 ruejs.exe
21.05.2005 13:56 805.306.368 pagefile.sys

#186 Asgron

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\ruejs.exe
C:\WINDOWS\ucmoreiex.exe
C:\WINDOWS\EDOW.EXE
C:\WINDOWS\shop1004.exe
C:\WINDOWS\Downloaded Program Files\setup4002b.ini
C:\WINDOWS\cxtpls_loader.exe
C:\WINDOWS\stubinstaller5975.exe
C:\WINDOWS\system32\TFTP2124
C:\WINDOWS\system32\TFTP1768
C:\WINDOWS\system32\TFTP3368
C:\WINDOWS\system32\TFTP3356
C:\WINDOWS\system32\TFTP2656
C:\WINDOWS\system32\TFTP2624
C:\WINDOWS\system32\TFTP1452
C:\WINDOWS\system32\TFTP1676
C:\WINDOWS\system32\TFTP944
C:\WINDOWS\system32\ucswser.exe
C:\WINDOWS\system32\rdriv.sys

PC neustarten

ueberpruefe, ob die Rootkit vom Backdoor wirklich geloescht ist.
C:\WINDOWS\system32\rdriv.sys

•Stinger (scannen)
http://vil.nai.com/vil/stinger/

CCleaner ccleaner.com/ccdownload
--> loesche alle *temp-Dateien
http://virus-protect.org/temp.html

C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\shop1004.exe<--loeschen
C:\DOKUME~1\ALEXAN~1.BEA\LOKALE~1\Temp\<--loesche alles Dateien in diesem Ordner

Mache Onlinescans (Panda und andere und berichte, was gefunden wurde)
http://virus-protect.org/onlinescan.html


Windows-Dienste abschalten!
http://www.dingens.org/
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
Windows Worms Doors Cleaner
http://virus-protect.org/windsdoorcleaner.html

--------------------------------------------------------------------------


INFO:

W32/Sdbot-BPZ ist ein Netzwerkwurm mit Backdoortrojaner-Funktionalität für die Windows-Plattform.

W32/Sdbot-BPZ verbindet sich mit einem vordefinierten IRC-Kanal und wartet auf weitere Befehle von remoten Anwendern.

Der Wurm verbreitet sich über Netzwerkfreigaben, die durch einfache Kennwörter geschützt sind, über MS-SQL-Server und über verschiedene Betriebssystemschwachstellen.

W32/Sdbot-BPZ legt außerdem eine Datei als rdriv.sys ab. Sophos Anti-Virus erkennt rdriv.sys als Troj/Rootkit-W.
__________
MfG Sabina

rund um die PC-Sicherheit

#187 Guten Abend!

Habe auch schon einige Zeit das Problem dieses Trojaners und bin nun auf dieses Forum gestoßen.

Würde mein HijackThis logfile auch gerne hier reinstellen, aber ich kann das Programm nicht öffnen.
Es scheint genau wie NortonAntiVirus und die regedit geblockt zu werden...

Würde mich riesig freuen, wenn jemand weiter weiß!!!

Grüße
Frank

#188 Hallo@Frank2000

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

Start--> Ausfuehren--> cmd--> kopiere nur die Eintraege der letzten 15 Tage raus

einzeln reinkopieren:

cd\
cd %windir%\system32
dir /a:-d /o:-d > %systemdrive%\system32.txt
start %systemdrive%\system32.txt
cls
exit

cd\
cd %temp%\
dir /a:-d /o:-d > %systemdrive%\systemtemp.txt
start %systemdrive%\systemtemp.txt
cls
exit

cd\
cd %windir%
dir /a:-d /o:-d > %systemdrive%\system.txt
start %systemdrive%\system.txt
cls
exit

cd\
dir /a:-d /o:-d > %systemdrive%\sys.txt
start %systemdrive%\sys.txt
cls
exit
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#189 Hallo Leute!
Ich habe auch diesen dummen Trojaner LowZones (allerdings weiss ich nicht welche version.Norton zeigt mir das nicht an.)
Eine file war in temporary internetfiles und eine andere hiess photos.exe
Vielleicht könnt ihr mir helfen das loszuwerden

Danke im Voraus
Kilian

Hier mein log von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 18:22:50, on 25.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINNT\system32\Logitech.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Downloads\HijackThis.exe
C:\WINNT\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [Logitech] Logitech.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [Logitech] Logitech.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe
O4 - Global Startup: Anti-Virus&Spyware.lnk = C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM)
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#190 Kilian81

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: ISTbar - {FAA356E4-D317-42a6-AB41-A3021C6E7D52} - C:\Programme\ISTbar\istbarcm.dll (file missing)
O4 - HKLM\..\Run: [Logitech] Logitech.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\RunServices: [Logitech] Logitech.exe
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKLM\..\RunServices: [Microsoft Windows Updata] scvhost.exe
O4 - HKCU\..\Run: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [Sygate Personal Block] Studio.exe
O4 - HKCU\..\Run: [Microsoft Windows Updata] scvhost.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O15 - Trusted Zone: http://ny.contentmatch.net (HKLM
O16 - DPF: {7C559105-9ECF-42B8-B3F7-832E75EDD959} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab

PC neustarten

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst--->poste C:\log.txt

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINNT\system32\Logitech.exe
C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe
C:\Temp\optimize.EXE
C:\Temp\optimize312[1].EXE
C:\Program Files\Internet Optimizer\optimize.exe
C:\Program Files\Internet Optimizer\actalert.exe
C:\WINNT\system32\winsystem.exe
C:\WINNT\system32\Studio.exe
C:\Programme\ISTbar\istbarcm.dll
C:\WINDOWS\Downloaded Program Files\istactivex.dll
C:\WINDOWS\Downloaded Program Files\ISTactivex.inf
C:\Programme\ISTsvc\istsvc.exe
C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\optimize.exe
c:\programme\180solutions\sais.exe
C:\Programme\SideFind\sidefind.dll

PC neustarten

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

How can I try F-Secure BlackLight Rootkit Elimination Technology?
A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005.
http://www.f-secure.com/blacklight/cure.shtml

Graphical user interface version:
(Recommended for most users)
lade: fsbl.exe
Command line version:
Lade:fsblc.exe

C:\Dokumente und Einstellungen\Kilian Weimann\Internet Optimizer\<--loeschen

c:\programme\180solutions<--loeschen
C:\Programme\SideFind<--loeschen

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



windsdoorcleaner
http://virus-protect.org/windsdoorcleaner.html

Mache den onlinscan Panda+ berichte , was gefunden wurde
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#191 Vielen Dank für die schnelle Hilfe. Ich denke mal das gröbste ist jetzt behoben
Dieses panda prog konnte ich mir leider nicht downloaden weil der browser immer geschlossen wird wenn ich es speichern will.
Ansonsten kommen aber keine trojan meldungen mehr nach neustart. Vorher kam immer wenn ich den ie geöffnet habe trojan meldungen von norton. Und dieses Istbar is wohl auch weg. Ich glaub das hat mir das alles erst eingebrockt.

mfG
Kilian

#192 Kilian81

dann poste mal das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

#193 Logfile of HijackThis v1.99.1
Scan saved at 22:29:56, on 25.05.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\wuauclt.exe
C:\WINNT\ISW\netcol.dsl\signup\Tray.exe
D:\Programme\ICQ\ICQLite\ICQLite.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmjb.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Anti-Virus&Spyware.lnk = C:\Programme\Anti-Virus&Spyware\Anti-Virus.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQ\ICQLite\ICQLite.exe
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2354A1CF-0D28-4CBD-9E58-5B082117A5E7}: NameServer = 213.168.112.60 194.8.194.60
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich frage mich nur was internat.exe ist....bestimmt wieder son wurm

#194 Kilian81

Windows_Protect winsystem.exe "Added by a variant of the RBOT WORM!"

Fixe mit dem HijackTHIS;

O4 - HKLM\..\RunServices: [Windows_Protect] winsystem.exe

neustarten

•Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Nikitas_Tools/


loesche:
winsystem.exe

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt oder mwav.log und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#195 Thu May 26 00:51:30 2005 => ***** Scanning Registry and File system for Adware/Spyware *****
Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({8cba1b49-8144-4721-a7b1-64c578c9eed7})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({58634367-d62b-4c2c-86be-5aac45cdb671})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({d0288a41-9855-4a9b-8316-babe243648da})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({339d8aff-0b42-4260-ad82-78ce605a9543})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({a36a5936-cfd9-4b41-86bd-319a1931887f})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:51 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Thu May 26 00:51:51 2005 => Object "SideFind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sidefind !!!
Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\sidefind !!!
Thu May 26 00:51:54 2005 => Offending value found in HKLM\Software\microsoft\sidefind !!!
Thu May 26 00:51:54 2005 => Object "sidefind Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:57 2005 => Offending value found in HKCU\Software\powerscan !!!
Thu May 26 00:51:57 2005 => Object "powerscan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:57 2005 => Object "Power scan Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\istbar !!!
Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\istbar !!!
Thu May 26 00:51:57 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:57 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\DyFuCA !!!
Thu May 26 00:51:57 2005 => Object "DyFuCA Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:58 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\sais !!!
Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\sais !!!
Thu May 26 00:51:58 2005 => Object "sais Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Thu May 26 00:51:58 2005 => Object "ameopt Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:58 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\kapabout !!!
Thu May 26 00:51:58 2005 => Object "kapabout Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:58 2005 => Offending value found in HKCU\Software\ist !!!
Thu May 26 00:51:58 2005 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:59 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\Internet Optimizer !!!
Thu May 26 00:51:59 2005 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:59 2005 => Offending value found in HKCU\Software\avenue media !!!
Thu May 26 00:51:59 2005 => Offending value found in HKCU\Software\policies\avenue media !!!
Thu May 26 00:51:59 2005 => Object "180Solutions Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:51:59 2005 => Offending value found in HKLM\Software\microsoft\downloadmanager !!!
Thu May 26 00:51:59 2005 => Object "AltNet Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:52:09 2005 => Offending Folder C:\DOKUME~1\KILIAN~1\FAVORI~1\Living present...
Thu May 26 00:52:09 2005 => Object "ISearchTech.ISTdownloader Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:52:10 2005 => System found infected with eZula Spyware/Adware (instsrv.exe)! Action taken: No Action Taken.
Thu May 26 00:52:10 2005 => Object "eZula Spyware/Adware" found in File System! Action Taken: No Action Taken.

Thu May 26 00:52:18 2005 => System found infected with ISTsvc Spyware/Adware (shortcuts.txt)! Action taken: No Action Taken.
Thu May 26 00:52:18 2005 => Object "ISTsvc Spyware/Adware" found in File System! Action Taken: No Action Taken.