Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.03.2005, 20:10
Ehrenmitglied
Beiträge: 29434 |
||
|
||
21.03.2005, 12:09
Member
Beiträge: 14 |
#17
Hi Sabina
hier das ergebnis von TDS-3: Scan Control Dumped @ 12:08:06 21-03-05 Positive identification <Adv>: Possible ICQ-notifying trojan File: c:\programme\icqlite\icqliteuninstall.exe danke bis hierher shcon mal |
|
|
||
21.03.2005, 15:07
Ehrenmitglied
Beiträge: 29434 |
#18
No viruses were detected in memory.
Your computer is free of known Thread. Virus Detection does not check compressed files. Your computer appears safe for now. For real-time protection from viruses, hackers and privacy Thread, upgrade to Norton Internet Security™. No viruses were detected in memory. The scan was cancelled before finishing. To restart the scan, click here. Your computer is free of known Thread. Virus Detection does not check compressed files. Your computer appears safe for now. For real-time protection from viruses, hackers and privacy Thread, upgrade to Norton Internet Security™. Warning! The scan detected a virus that is active in your computer's memory. The scan ended to prevent further infection. You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool. No viruses were detected in memory. Your computer is infected with at least one known virus or Trojan horse. Search for the name of the Thread(s) listed below on the Symantec Security Response site for removal information. No viruses were detected in memory. Your computer is infected with at least one known virus or Trojan horse. Note: The scan was cancelled before finishing. There may be more infected files on this computer. Search for the name of the Thread(s) listed below on the Symantec Security Response site for removal information. A scan has not been run. To start Virus Detection, click here. ---------------------------------------------------------------------------------- C:\WINDOWS\blank.html is infected with Adware.CDT C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y78DO52D\deds2[1].exe is infected with Adware.CDT C:\RECYCLER\S-1-5-21-343818398-1343024091-1060284298-1004\Dc10.exe is infected with Adware.CDT C:\Dokumente und Einstellungen\Tim Schorsch\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDY3SXEF\deds2[1].exe is infected with Adware.CDT das kam am ende beim letzten online scan raus. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 15:08
Ehrenmitglied
Beiträge: 29434 |
#19
Hallo@Pythagoras
#ClaerProg..lade die neuste Version <1.4.1 http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) Loeschen: C:\WINDOWS\blank.html C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y78DO52D\deds2[1].exe C:\RECYCLER\S-1-5-21-343818398-1343024091-1060284298-1004\Dc10.exe C:\Dokumente und Einstellungen\Tim Schorsch\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDY3SXEF\deds2[1].exe und noch die anderen Onlinescanns durchfuehren+ berichten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 16:01
Member
Beiträge: 11 |
#20
Erstmal Hallo @ aLL.
Also ich habe auch den Trojaner TR/Lowzones.A auf meinem Rechner, aber überhaupt keine Ahnung von Computern. Habe mir den Thread gut durchgelesen, aber traue mich nicht die ganzen Schritte durchzuführen. Bräuchte so schnell wie es geht Hilfe. Wäre super, wenn mir jemand weiterhelfen könnte grEEtz j4m4ik4 |
|
|
||
21.03.2005, 17:57
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo@j4m4ik4
Laden Sie die Trial Version von tds-3 anti trojan von hier runter: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern unter speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Uppdate radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es als txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 19:09
...neu hier
Beiträge: 2 |
#22
Hallo!
Ich habe auch den schei* Trojaner. Hier der Logfile von HijackThis. Ich hoffe ihr könnt mir helfen : ) Danke! Logfile of HijackThis v1.99.1 Scan saved at 19:00:56, on 21.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Internet\AVPersonal\AVGUARD.EXE C:\Programme\Internet\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Internet\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Internet\ICQLite\ICQLite.exe C:\WINDOWS\System32\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\mHotkey.exe C:\Programme\Internet\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\msmq2inst.exe C:\WINDOWS\System32\cmd16.exe C:\Programme\Internet\WLan\Utility\WG511WLU.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Internet\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Aie21dl5\Aie21dl5.exe C:\PROGRA~1\INTERNET\MOZILLA\MOZILLA.EXE C:\Programme\Tools\WinRAR\WinRAR.exe C:\DOKUME~1\DUSTDE~1\LOKALE~1\Temp\Rar$EX00.844\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.icq.com/toolbar/after.html?tb_id={C349DCB0-43A2-4802-AB82-ED97F854851A}&tb_ver=1.2 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\Internet\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\Internet\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\Internet\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\Internet\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Protextion For The Microsoft Windows] MicroSoftWinProt.exe O4 - HKLM\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\Run: [Dynamic Dns Binary] cmd16.exe O4 - HKLM\..\Run: [WG511WLU] C:\Programme\Internet\WLan\Utility\WG511WLU.exe -hide O4 - HKLM\..\RunServices: [Protextion For The Microsoft Windows] MicroSoftWinProt.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msmq2inst.exe O4 - HKLM\..\RunServices: [Dynamic Dns Binary] cmd16.exe O4 - HKCU\..\Run: [MS Unix Binary] msmq2inst.exe O4 - HKCU\..\Run: [Dynamic Dns Binary] cmd16.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\Internet\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &ICQ Toolbar Search - res: |
|
|
||
21.03.2005, 23:50
Ehrenmitglied
Beiträge: 29434 |
#23
DustDevil
nimm sofort diese Virenschleuder aus dem Netz und formatiere neu ...das ist eine ganze Batterie von Backdoors und Viren. Dein System ist nicht mehr zu retten http://virus-protect.org/ __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2005, 09:51
...neu hier
Beiträge: 2 |
#24
Ich hatte das System vor einer Woche erst neu formatiert und war bis auf ein mal immer mit Firewall und Antivir unterwegs. : (
Ich werde es dann wohl noch mal machen! Danke und bis später! |
|
|
||
22.03.2005, 18:41
Member
Beiträge: 12 |
#25
Servus Sabina
nochmal vielen Dank für all die Links und Tipps. jetzt habe ich alles abgearbeitet. Ich bin mir nicht sicher, ob ich das Vieh jetzt los bin. hier meine aktuelle logfile: Kannst Du das mal bitte checken? Merci engelbert Logfile of HijackThis v1.99.1 Scan saved at 18:31:24, on 22.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ad_elmd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\Dit.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\HPZipm12.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\AntiVirTools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.architekt-thomas-gross.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\Programme\OnlineCounter 2002\OCHangUp.exe (file missing) (HKCU) O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN_XP.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21fde7b4e791577ec322/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111008775341 O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/sparkasse-rottweil/srwso1801.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F325EFC9-6341-496F-8DA4-A6B8F1B4CBF2}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Autodesk License Manager (AdLM) - Unknown owner - C:\WINDOWS\System32\ad_elmd.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
23.03.2005, 01:06
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@engelbert
O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe da ist er....nach wie vor..... hast du alles abgearbeitet, was ich dir geschrieben hatte ? Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ C:\WINDOWS\System32\vrsprtc.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten Fixe die zwei Eintraege mit dem HijackThis O4 - HKLM\..\Run: [Virus Protect] vrsprtc.exe O4 - HKLM\..\RunServices: [Virus Protect] vrsprtc.exe , starte neu und: http://virus-protect.org/ mache alle Onlinescanns (scrolle nach unten, dort findest du sie ) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 17:03
...neu hier
Beiträge: 4 |
#27
Hallo Sabina,
Es ist wirklich großartig zu sehen, dass es im Internet nette Leute wie dich gibt, die anderen armen PCBenutzer helfen. Ich habe alle Anweisungen befolgt und mein HijackThis log lautet: Logfile of HijackThis v1.99.1 Scan saved at 16:51:17, on 23.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\System32\nvsvc32.exe E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe E:\Programme\ASUS\WLAN Card Utilities\Center.exe E:\WINDOWS\System32\CTHELPER.EXE E:\Programme\Winamp\winampa.exe E:\Programme\Java\jre1.5.0_01\bin\jusched.exe E:\WINDOWS\System32\msnupdate.exe E:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe E:\WINDOWS\System32\ctfmon.exe E:\Programme\Trillian\trillian.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Dokumente und Einstellungen\Giulio.ALPINO\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Control Center] E:\Programme\ASUS\WLAN Card Utilities\Center.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 -lock O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Outpost Firewall] E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [Tau Monitor] E:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe Könntest du mir bitte helfen? Was soll ich nun fixen? Danke für deine Zeit Giulio |
|
|
||
23.03.2005, 17:46
Ehrenmitglied
Beiträge: 29434 |
#28
Hallo@Giulio
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\UNMT.EXE E:\WINDOWS\system32\msnupdate.exe PC neustarten <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Aktuelle Version der Shareware von F-PROT (DOS) Lade von dieser Seite: http://www.f-prot.com/products/corporate_users/dos/ •FP-315B.ZIP Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt. Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm Link : WWDC.exe Size : 50 KB http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/ http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 04:59
...neu hier
Beiträge: 4 |
#29
Danke jetzt läuft alles wieder super.
Ich danke dir aus ganzem Herzen!!! |
|
|
||
24.03.2005, 09:42
Ehrenmitglied
Beiträge: 29434 |
#30
Hallo@Giulio
Poste mal zur Ueberpruefung das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe
PC neustarten
Laden Sie die Trial Version von tds-3 anti trojan von hier runter:
http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht.
#Machen Sie ein Update.
http://www.diamondcs.com.au/tds/radius.td3
#Um das Update durchzuführen --> [Rechts-klick] --> speichern
unter speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor
installiert haben. Uppdate radius.td3
(Die vorherige Datei radius.td3.wird so ueberschrieben )
#Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster,
klicken Sie auf System testing --> full system scan
#Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen.
Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es als txt Datei (Text Datei).
#Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread
------------------------------------------------------
Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
http://www.firewallleaktester.com/wwdc.htm
Link : WWDC.exe
Size : 50 KB
<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\Windoes\System32\msnupdate.exe
C:\UNMT.EXE
und alles, was der Scanner tds-3 angezeigt hat....
PC neustarten
Onlinescanns:
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/product/02.html
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
__________
MfG Sabina
rund um die PC-Sicherheit