Trojanische Pferd TR/LowZones.A.2Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
24.03.2005, 11:31
...neu hier
Beiträge: 2 |
||
|
||
24.03.2005, 12:13
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo@element
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe PC neustarten C:\Dokumente und Einstellungen\...\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ <--loesche ALLE Datein in diesem Ordner (lasse nur die index.dat) Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm Link : WWDC.exe Size : 50 KB <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Aktuelle Version der Shareware von F-PROT (DOS) Lade von dieser Seite: http://www.f-prot.com/products/corporate_users/dos/ Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml -->mwav.exe oeffnen -->alle Haekchen setzen-->scannen--> --> scanne auch noch mal im abgesicherten modus mit clrav+FPROT.EXE gehe wieder in den Normalmodus mwav.txt (oderView Log) anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\Windoes\System32\msnupdate.exe C:\UNMT.EXE + alles, was der escan angezeigt hat PC neustarten Onlinescanns: http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/product/02.html http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 14:28
...neu hier
Beiträge: 1 |
#33
Hallo,
auch ich habe leider so nen Schädling wie Lowzones.A auffer Platte. Nach Virencheck mit diversen Tools wie Norton, Stinger, Antivir Hijack und Trojancheck habe ich im abgesicherten Modus alles gelöscht was ich angezeigt bekommen habe. Danach habe ich nochmal alle Programme prüfen lassen ob ich noch etwas übersehen habe. Ergebnis: Nix!! Gehe ich jedoch Online habe ich ne blöde Meldung mit irgendwas von "about:html". Daran erkenne ich, das mein Freund Lowzone.A immer noch wütet. Dies wird mir dann bei einem erneuten Virencheck auch prompt bestättigt. Dowat find ich nich lustig. Ich schreibe das jetzt mal von der Arbeit aus, vielleicht habt Ihr ein paar Tips für mich wie ich dem begegnen kann. Den nächsten Log kopiere ich dann demnächst hier rein. Thanks im Voraus tetrapak |
|
|
||
24.03.2005, 16:16
...neu hier
Beiträge: 2 |
#34
Hi@Sabina,
ich habe soweit alles das getan was du geschrieben hast. Bisher läuft das System ohne Firewall auch super. Mal sehen wie lange das anhält. Aber bisher ist es top. Glaub es hat funktioniert. Aber man weiß ja nie ... leider. Erstmal ein riesen Dankeschön an dich. Dann habe ich nochmal ne Frage: Welches Antivir Program und welche Firewall kannst du mir empfehlen? Welche Tools sollte ich öfters durchlaufen lassen, damit ich nie wieder Probleme mit Viren hab. Gruß eLement |
|
|
||
24.03.2005, 16:25
Member
Beiträge: 12 |
#35
Hallo Sabina,
es ist zum heulen. ich habe alles abgearbeitet und mein AntiVir sagt er findet 0 hier nochmal mein logfile vom Hijack kannst Du bitte nochmal draufschauen merci vorab engelbert Logfile of HijackThis v1.99.1 Scan saved at 15:46:05, on 24.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\ad_elmd.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\HP\HP Software Update\HPWuSchd.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\Programme\Ahead\InCD\InCD.exe C:\WINDOWS\Dit.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Java\jre1.5.0_02\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\AntiVirTools\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.architekt-thomas-gross.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O1 - Hosts: 64.91.255.87 www.dcsresearch.com O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe-Gamma-Lader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar3.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar3.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar3.dll/cmcache.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar3.dll/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Trennen - {1FB507B3-841F-4ed4-BED8-E11F0E5E47A1} - C:\Programme\OnlineCounter 2002\OCHangUp.exe (file missing) (HKCU) O16 - DPF: {093F9CF8-0DE1-491C-95D5-5EC257BD4CA3} - http://akamai.downloadv3.com/binaries/IA/dtc32_EN_XP.cab O16 - DPF: {1EB17D1C-141D-4D9D-91CB-24D99215851D} - http://akamai.downloadv3.com/binaries/IA/netia32_EN_XP.cab O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia_XP.cab O16 - DPF: {505098FD-5D61-4BC2-9B82-F969D0E932A2} (EGEGAUTH Class) - http://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1036_EN_XP.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/21fde7b4e791577ec322/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111008775341 O16 - DPF: {6D15BD40-CCA6-11D2-A6A0-0060089A0EFF} (RWSO_IHB) - https://banking.rwso.de/sparkasse-rottweil/srwso1801.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{B2B0D8EF-901C-4008-A1FF-7AEBE9405F94}: NameServer = 213.73.108.140 212.59.141.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{F325EFC9-6341-496F-8DA4-A6B8F1B4CBF2}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: Autodesk License Manager (AdLM) - Unknown owner - C:\WINDOWS\System32\ad_elmd.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe |
|
|
||
24.03.2005, 16:33
...neu hier
Beiträge: 3 |
#36
Hi
jedesmal wenn ich mich ins Internet einwähle kommt sofort eine Meldung von Antivir über das Trojanische Pferd TR/LowZones.AK und direkt danach noch eine Warnung über eine scsiupdate2.exe ich klick dann auf löschen und es scheint auch weg zu sein, dennoch setzt das Internet aus (laggs) und z.b. im IRC werde ich immer disconnected (connected - disconnected - connected usw) ich habe bereits Antivir durchlaufen lassen, Spybot S&D und Ad-Aware, zudem benutze ich die Zonealarm Firewall. hier nochmal die Hijackthis Log: Logfile of HijackThis v1.99.1 Scan saved at 15:59:44, on 24.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\ZoneAlarm\zapro.exe C:\WINDOWS\System32\SVSS32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\System32\wuauclt.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\ollek\Desktop\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows Service Support Call] SVSS32.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe O4 - HKLM\..\RunServices: [Windows Registry Express Loader] regexpress.exe O4 - HKLM\..\RunServices: [MS Agent Protection] ag1.exe O4 - HKLM\..\RunServices: [NT Service] ntoksrnl.exe O4 - HKLM\..\RunServices: [Windows Service Support Call] SVSS32.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3F03BE2A-4A50-4839-944B-60E3E212B5AD}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: Windows Registry Express Loader - Unknown owner - C:\WINDOWS\System32\C:\WINDOWS\System32\regexpress.exe" -netsvcs (file missing) Dieser Beitrag wurde am 24.03.2005 um 17:19 Uhr von ollek editiert.
|
|
|
||
24.03.2005, 19:15
...neu hier
Beiträge: 4 |
#37
Hier ist mein neues Log:
Logfile of HijackThis v1.99.1 Scan saved at 19:14:14, on 24.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\Explorer.EXE E:\WINDOWS\system32\spoolsv.exe E:\Programme\AVPersonal\AVGUARD.EXE E:\Programme\AVPersonal\AVWUPSRV.EXE E:\WINDOWS\System32\nvsvc32.exe E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe E:\Programme\ASUS\WLAN Card Utilities\Center.exe E:\WINDOWS\System32\CTHELPER.EXE E:\WINDOWS\SOUNDMAN.EXE E:\Programme\Winamp\winampa.exe E:\Programme\Java\jre1.5.0_01\bin\jusched.exe E:\Programme\AVPersonal\AVGNT.EXE E:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe E:\WINDOWS\System32\ctfmon.exe E:\Programme\Trillian\trillian.exe E:\Programme\Teamspeak2_RC2\TeamSpeak.exe E:\Programme\Mozilla Firefox\firefox.exe E:\Programme\Windows Media Player\wmplayer.exe E:\Programme\The All-Seeing Eye\eye.exe E:\Dokumente und Einstellungen\Giulio.ALPINO\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Control Center] E:\Programme\ASUS\WLAN Card Utilities\Center.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [UpdReg] E:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] E:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WinampAgent] E:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 -lock O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_01\bin\jusched.exe O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Outpost Firewall] E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe /waitservice O4 - HKLM\..\Run: [Tau Monitor] E:\PROGRA~1\Agnitum\TAUSCA~1.7\taumon.exe O4 - HKCU\..\Run: [CTFMON.EXE] E:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - E:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU) O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - E:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - E:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - E:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe |
|
|
||
24.03.2005, 19:55
Ehrenmitglied
Beiträge: 29434 |
#38
Hallo@engelbert
so, wie das Log jetzt ist--> ist es sauber #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - C:\DOKUME~1\BESITZER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing) PC neustarten deinstalliere bitte den Antivirus und lade ihn neu •Antivirus (free) http://www.free-av.de/ Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation: Optionen--> Konfiguration-->Heuristik-->win32 Datei-Heuristik--> aktivieren--> auf Mittel stellen (im Scanner + im Guard) [X] Speicher [X] Bootsektor Suchlaufwerke [ ] Unbekannte Bootsektoren melden [X] Alle Dateien [ ] Programmdateien __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 20:03
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo@ollek
Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Laden Sie die Trial Version von tds-3 anti trojan von hier runter: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Update radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread. #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Windows Service Support Call] SVSS32.EXE O4 - HKLM\..\RunServices: [Sygate Personal Block] Studio.exe<--W32/Rbot-TW O4 - HKLM\..\RunServices: [Windows Registry Express Loader] regexpress.exe O4 - HKLM\..\RunServices: [MS Agent Protection] ag1.exe O4 - HKLM\..\RunServices: [NT Service] ntoksrnl.exe O4 - HKLM\..\RunServices: [Windows Service Support Call] SVSS32.EXE PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\ag1.exe C:\WINDOWS\System32\SVSS32.EXE C:\WINDOWS\System32\regexpress.exe C:\WINDOWS\System32\Studio.exe C:\WINDOWS\System32\ntoksrnl.exe C:\WINDOWS\System32\scsiupdate2.exe PC neustarten Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben und nun alles rauskopieren, was angezeigt wird--> Onlinescanns: http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/product/02.html http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp ------------------------------------------------------------- W32/Rbot-TW ist ein Wurm mit Backdoortrojaner-Funktionalität. W32/Rbot-TW kann sich auf Computer im lokalen Netzwerk verbreiten, die durch einfache Kennwörter geschützt sind, nachdem er den entsprechenden Backdoor-Befehl erhalten hat. W32/Rbot-TW versucht, sich über folgende Schwachstellen zu verbreiten: DCOM (MS04-012) LSASS (MS04-011) Wenn er erstmals ausgeführt wird, kopiert sich W32/Rbot-TW als STUDIO.EXE in den Windows-Systemordner und startet diese Kopie des Wurms. Die Kopie versucht, die originale Datei zu löschen. Damit er gestartet wird, sobald sich ein Benutzer anmeldet, erstellt W32/Rbot-TW die folgenden Registrierungseinträge: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sygate Personal Block Studio.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Sygate Personal Block Studio.exe HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Sygate Personal Block Studio.exe Der Wurm läuft kontinuierlich im Hintergrund und ermöglicht Backdoor-Zugriff auf den infizierten Computer. Mit der Backdoor-Komponente von W32/Rbot-TW können folgende Funktionen gestartet werden: Starten von Distributed-Denial-of-Service (DDoS)-Attacken. Umleiten von TCP- und SOCKS4-Verkehr. Remote-Login-Commandshell. Herunterladen, Hochladen, Löschen und Ausführen von Dateien. Einrichten eines HTTP-, TFTP- und FTP-Fileservers. Stehlen von Kennwörtern (u. a. PayPal-Kontodaten). Speichern von Tastenfolgen und Daten aus der Zwischenablage. Erstellen von Bildschirmaufnahmen, Webcam-Aufnahmen und Videos. Auflisten und Beenden von Prozessen. Stoppen, Starten, Anhalten und Löschen von Diensten. Öffnen und Schließen von Schwachstellen. Portscan nach Schwachstellen auf remoten Computern. Senden von E-Mails wie von dem remoten Anwender angegeben. Leeren der DNS- und ARP-Caches. Herunterfahren und Neustarten des Computers. Hinzufügen und Löschen von Netzwerkfreigaben, Gruppen und Benutzern. Schnüffeln in Netzwerkverkehr nach Kennwörtern. Senden von Net-Messages. W32/Rbot-TW versucht, die folgenden Prozesse zu beenden: bbeagle.exe, d3dupdate.exe, i11r54n4.exe, irun4.exe, msblast.exe, MSBLAST.exe, msconfig.exe, mscvb32.exe, navapw32.exe, navw32.exe, netstat.exe, PandaAVEngine.exe, Penis32.exe, rate.exe, regedit.exe, ssate.exe, sysinfo.exe, SysMonXP.exe, teekids.exe, wincfg32.exetaskmon.exe, winsys.exe, winupd.exe, zapro.exe, zonealarm.exe Mit W32/Rbot-TW können Registrierungs- und Schlüsseldaten für verschiedene Computerspiele und -Anwendungen gestohlen werden, u. a. von: __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 20:11
Ehrenmitglied
Beiträge: 29434 |
#40
Giulio
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O1 - Hosts: 64.91.255.87 www.dcsresearch.com PC neustarten scanne noch mal mit dem escan und poste mir, was noch "infected" gefunden wurde! dann duerfte alles in Ordnung sein __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.03.2005, 22:43
...neu hier
Beiträge: 3 |
#41
so ich habe jetzt alle Schritte gemacht... eScan hat jedoch noch folgende Dateien gefunden:
File C:\WINDOWS\System32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\x.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\regexpress.VIR infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\regexpress.VIR00 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\regexpress.VIR01 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\regexpress.VIR02 infected by "Backdoor.Win32.Wootbot.gen" Virus. Action Taken: No Action Taken. File C:\Programme\INSTAFINK\InstaFinderK_inst.exe infected by "not-a-virus:AdWare.ToolBar.404Search.h" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\x.pif infected by "Trojan-Downloader.BAT.Ftp.z" Virus. Action Taken: No Action Taken. hier nochmal das Hijackthis log: Logfile of HijackThis v1.99.1 Scan saved at 22:43:16, on 24.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\ZoneAlarm\zapro.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\mIRC\mirc.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\ollek\Desktop\HijackThis.exe R3 - Default URLSearchHook is missing O1 - Hosts: 64.91.255.87 www.dcsresearch.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{3F03BE2A-4A50-4839-944B-60E3E212B5AD}: NameServer = 217.237.149.161 217.237.151.225 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
25.03.2005, 00:02
...neu hier
Beiträge: 1 |
#42
hab auch den Lowzones.A, ich hab keinen Ahnung was ich noch machen soll um den virus wegzubekommen, bitte um schneller Hilfe!
Hier mein Log: Logfile of HijackThis v1.99.1 Scan saved at 00:01:09, on 25.02.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\RunDll32.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\System32\msnupdate.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\dslmon.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Programme\Internet Explorer\IEXPLORE.EXE E:\progz\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MS Unix Binary] msnupdate.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: DSLMON.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109282245983 O17 - HKLM\System\CCS\Services\Tcpip\..\{7A22E0D5-0384-43C5-96BB-793E258A900B}: NameServer = 217.237.151.225 217.237.150.225 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe |
|
|
||
25.03.2005, 00:15
...neu hier
Beiträge: 4 |
#43
Escan?
Ich habe nur Antivir, geht doch auch, oder? |
|
|
||
25.03.2005, 12:22
Ehrenmitglied
Beiträge: 29434 |
#44
Hallo@ollek
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R3 - Default URLSearchHook is missing •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\.pif C:\WINDOWS\System32\x.pif C:\Programme\AVPersonal\INFECTED\regexpress.VIR C:\Programme\AVPersonal\INFECTED\regexpress.VIR00 C:\Programme\AVPersonal\INFECTED\regexpress.VIR01 C:\Programme\AVPersonal\INFECTED\regexpress.VIR02 C:\Programme\INSTAFINK\InstaFinderK_inst.exe PC neustarten Download RootkitRevealer (270 KB) ** laden: http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml #Download RootkitRevealer (190 KB) #entpacken #RootkitRevealer.exe--> klick--> sannen --> poste, wenn etwas gefunden wurde. dann scanne noch mal mit escan, berichte+ Onlinescanns: http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ http://www.ravantivirus.com/scan/ http://www3.ca.com/virusinfo/ http://www.bitdefender.com/scan/licence.php http://www.commandondemand.com/eval/index.cfm http://www.freedom.net/viruscenter/...viruscheck.html http://info.ahnlab.com/english/product/02.html http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp + berichte von den Scann+ poste das neue log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.03.2005, 12:24
Ehrenmitglied
Beiträge: 29434 |
#45
Hallo@Giulio
Kein Virenscanner ist perfekt, man sollte immer mit mehreren arbeiten •eScan-Erkennungstool--> loescht nicht--> zeigt nur an eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Ich vermute, das ich mir auch diesen Virus eingefangen hab. Vor einiger Zeit habe ich gemerkt, wie mein PC nach einer bestimmten online Zeit einfach total langsam wird. Außerdem kann ich im Internet Explorer keine Url mehr eingeben, dann öffnet sich die Seite garnicht. Ich muss wenn dann http://www.... davor schreiben, erst dann gehts. Aber das dann total langsam. D.h. ich fahre den PC hoch und nach ca 5 Minuten ist der PC schon langsam und der Virus hat wieder zugeschlagen.
STRG-ALT-ENTF ist dann nicht mehr möglich aufzurufen. Man sieht nur wie sich unten in der Taskleiste die Taskmanagersymbole hinsetzen, aber sie öffnen sich nicht.
Rechtsklick auf die Netzwerkumgebung kann ich auch nicht machen. Wenn ich dann den PC herunterfahre, stürzt er ab und fährt nicht weiter runter.
Trenne ich mich jedoch von der Internetverbindung und aktiviere die Windows Firewall, kann der Virus nichts machen. Aber mich stört es schon, dass ich den Virus auf dem Rechner habe. Außerdem kann ich mit der Windows Firewall keine PC im Netzwerk sehen und die auch nicht mich.
Nun ist mir gestern eingefallen, TCPView zu starten um zu schauen, welche Verbindungen mein Internet aufbaut. Dort ist mir aufgefallen, das nach einer gewissen Zeit tausende Verbindungen mit dem namen msnupdate.exeort (Port hat gewechselt, weiss nichtmehr genau welche das waren). Er schließt diese Verbindungen und öffnet sie, mehrfach die Sekunde. Das macht wahrscheinlich den PC so langsam.
Als ich dann den PC neugestartet hab, damit alles wieder läuft, hab ich gesehen, das in C:\ 2 Dateien mit dem Namen outlookupdatexxxx.exe (xxxx = 4 Zahlen) erstellt wurden. Was ist das?
Kurze Zeit später fing mein TCPView wieder die msnupdates auf. Dann hab ich rechtsklick auf einen Prozess gemacht und diese Beendet. Daraufhin hat er alle beendet und der PC ging wieder. Aber das ist nicht alles, nach kurzer Zeit geht er wieder los.
Daraufhin hab ich unter google msnupdate.exe eingegeben um weitere Informationen zu bekommen. Daraufhin bin ich auf diese Seite gestoßen. Hier hab ich mir dann einige Sachen dazu aufgeschrieben. Zum einen mehrere Tools durchlaufen lassen wie: TDS, Spywar Search and Destroy, AntiVir, Norton Antivir, Adaware 6, BitDefender, escan und Kaspersky. Lediglich bei den Adaware Tools hat er paar Sachen gefunden (Dies aber wahrscheinlich nur, weil ich bis vor geraumer Zeit den Internet Explorer benutzt habe, aber umgestiegen bin). Die anderen haben nichts gefunden.
Der Norton Antivir, hat mal eine Datei als Virus entdeckt, aber ich glaub nichts großartig damit gemacht.
Die Datei msnupdate habe ich im system32 Ordner finden können. Diese habe ich direkt gelöscht. Auch mit HiJackThis hab ich 3 Zeilen mit msnupdate.exe gefunden, diese habe ich auch gefixed. Aber nichts hat geholfen.
kurze Zwischenfragen:
---- Welches Antiviren Programm ist am besten zu nehmen?
---- Brauch ich bei TDSL, Router auch eine Firewall?
---- Wenn ja, welche? Welche ist wirklich gut?
Hier mein HiJackThis Log:
Logfile of HijackThis v1.99.0
Scan saved at 11:28:52, on 24.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\programme\powerstrip\pstrip.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
E:\Steam\Steam.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\mIRC own\mirc.exe
C:\Programme\TCPView\Tcpview.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O1 - Hosts: 64.91.255.87 www.dcsresearch.com
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [PowerStrip] c:\programme\powerstrip\pstrip.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SYSTRAY] C:\UNMT.EXE
O4 - HKLM\..\Run: [MS Unix Binary] msnupdate.exe
O4 - HKLM\..\RunServices: [MS Unix Binary] msnupdate.exe
O4 - HKCU\..\Run: [Steam] E:\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: VeriSign Updater - VeriSign, Inc. - C:\Programme\VeriSign\NAVI\naviagent.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
msnupdate ist in meinem HiJackLog drinnen, obwohl ichs gelöscht hab.
Nunja, ich hoffe mir kann geholfen werden.
Ich bedanke mich schonmal im vorraus.
Mit freundlichem Gruß
eLement