Trojanische Pferd TR/LowZones.A.2

Thema ist geschlossen!
Thema ist geschlossen!
#0
03.04.2005, 22:04
Member

Beiträge: 11
#91 Beim download des PandaScans kommt eine Fehlermeldung.
Seitenanfang Seitenende
04.04.2005, 09:08
...neu hier

Beiträge: 5
#92 Hallo Sabina !

Hier ist mal wieder jemand mit einem "Lowzone.A"

Hijack

ogfile of HijackThis v1.99.1
Scan saved at 08:32:48, on 04.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\csrss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\AVPersonal\AVGUARD.EXE
F:\Programme\AVPersonal\AVWUPSRV.EXE
F:\WINDOWS\System32\drivers\CDAC11BA.EXE
F:\Div. Programmme\ewido security suite\security suite\ewidoctrl.exe
F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
F:\WINDOWS\System32\nvsvc32.exe
F:\Programme\Dantz\Retrospect\retrorun.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\wdfmgr.exe
F:\WINDOWS\system32\ZoneLabs\vsmon.exe
F:\Internet\T-DSL\SpeedMgr.exe
F:\WINDOWS\System32\LVCOMSX.EXE
F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
F:\Internet\ZoneAlarm\zlclient.exe
F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
F:\Programme\AVPersonal\AVGNT.EXE
F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
F:\Internet\T-DSL\tsmsvc.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\New_Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internet\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Programme\MSN Toolbar\01.01.1601.0\de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Internet\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "F:\Internet\T-DSL\SpeedMgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [LVCOMSX] F:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] F:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB003" /M "Stylus C66"
O4 - HKLM\..\Run: [Zone Labs Client] "F:\Internet\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] F:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [AVGCtrl] F:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe
O4 - HKCU\..\Run: [SpySweeper] "F:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Internet\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Internet\ICQLite\ICQLite.exe
O16 - DPF: ppctlcab - http://69.44.122.156/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://69.44.122.156/scanner/axscanner.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094065709850
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - F:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - F:\Div. Programmme\ewido security suite\security suite\ewidoctrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - Unknown owner - F:\Programme\Dantz\Retrospect\retrorun.exe
O23 - Service: AntiVir Update Temp (TmpUpSrv) - Unknown owner - F:\DOKUME~1\PETER\LOKALE~1\TEMP\_VWUPSRV.EXE (file missing)
O23 - Service: TSMService - T-Systems Nova, Berkom - F:\Internet\T-DSL\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - F:\WINDOWS\system32\ZoneLabs\vsmon.exe


Danke schon mla im voraus !
Seitenanfang Seitenende
04.04.2005, 09:53
...neu hier

Beiträge: 5
#93 Hallo,

leider habe ich mir auch dieses Ding eingefangen. Hab vor ein paar Tagen erst das Teil gehabt und das System komplett neu installiert. (Nach Formatierung) Jetzt hab ich es schon wieder. (Vermutlich dank XP und ausgeschalteter Firewall). Falls mein System noch zu retten ist, wäre ich glücklich...
Bin nicht gerade Experte was mein System angeht, hab aber soviel verstanden, daß die Probleme sehr individueller Natur sind. Daher hier auch meine Log von Hijackthis:


Logfile of HijackThis v1.99.1
Scan saved at 09:47:31, on 04.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\vgacard6.exe
C:\WINDOWS\System32\SVSS32.EXE
C:\WINDOWS\System32\IExplore327.exe
C:\WINDOWS\System32\diadushka.exe
C:\WINDOWS\System32\MSMSN32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Dokumente und Einstellungen\Bischof Nixoratio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [VGA6 Startup] vgacard6.exe
O4 - HKLM\..\Run: [Windows Service Support Call] SVSS32.EXE
O4 - HKLM\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [Microsoft Locals] diadushka.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [VGA6 Startup] vgacard6.exe
O4 - HKLM\..\RunServices: [Windows Service Support Call] SVSS32.EXE
O4 - HKLM\..\RunServices: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\RunServices: [Microsoft Locals] diadushka.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Locals] diadushka.exe
O4 - HKCU\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKCU\..\Run: [VGA6 Startup] vgacard6.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F274E900-2878-4719-87C4-D0E0DE64969E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F274E900-2878-4719-87C4-D0E0DE64969E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Win32 Classes -
O17 - HKLM\System\CCS\Services\Tcpip\..\{310FEA06-75EC-483F-A437-8F35857AC123}: NameServer = 213.168.112.60 81.173.194.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{310FEA06-75EC-483F-A437-8F35857AC123}: NameServer = 213.168.112.60 81.173.194.68
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Ich wäre für Hilfe sehr dankbar.
Gruß, Nixoratio
Seitenanfang Seitenende
04.04.2005, 10:41
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#94 Hallo@Hannibal78

W32/Rbot-JZ ist ein Netzwerkwurm und eine Backdoor für die Windows-Plattform.

Die Backdoor-Komponente verbindet sich mit einem vordefinierten IRC-Server und wartet auf Anweisungen von einem remoten Angreifer.

Der Wurm verbreitet sich, indem er sich auf Netzwerkfreigaben mit einfachen Kennwörtern kopiert und die LSASS-Schwachstelle (MS04-011)
http://www.microsoft.com/technet/security/bulletin/MS04-011.mspx
ausnutzt.
Die Backdoor-Komponente verbindet sich mit einem vordefinierten IRC-Server und wartet auf Anweisungen von einem remoten Angreifer.
Wenn er gestartet wird, kopiert sich der Wurm in die Datei msnmsgr.exe im Windows-Systemordner und fügt folgende Einträge zur Registrierung hinzu:

Gehe in die Registry
Start<Ausfuehren--> regedit


loesche mit rechtsklick folgende Eintraege von : Msn Messengers = "msnmsgr.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Msn Messengers = "msnmsgr.exe"

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Msn Messengers = "msnmsgr.exe"

HKLM\System\CurrentControlSet\Control\Lsa\
Msn Messengers = "msnmsgr.exe"

HKLM\Software\Microsoft\Ole\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices\
Msn Messengers = "msnmsgr.exe"

HKCU\System\CurrentControlSet\Control\Lsa\
Msn Messengers = "msnmsgr.exe"

HKCU\Software\Microsoft\Ole\
Msn Messengers = "msnmsgr.exe"

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Msdirectx]

schliesse die registry

Der Wurm versucht, verschiedene andere Würmer und einige andere sicherheitsrelevante Prozesse zu deaktivieren.
Die Backdoor-Komponente gibt einem remoten Angreifer die Möglichkeit,:

Dateien auf und von dem infizierten Computer zu transferieren
Gedrückte Tasten des Anwenders zu speichern
in Netzwerkpaketen zu schnüffeln
Video-Aufnahmen zu erstellen
Distributed-Denial-of-Service-Attacken zu starten
CD-Schlüssel von Computerspielen zu stehlen


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\RunServices: [MSN Messenger] msnmsgr.exe<--W32/Rbot-JZ
O4 - HKCU\..\RunServices: [MSN Messenger] msnmsgr.exe

PC neustarten

F:\WINDOWS\System32\msnmsgr.exe<--loeschen

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/

Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory



-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#95 Hallo@Nixoratio

so einen verseuchten PC hab ich schon lange nicht mehr gesehen....

Deaktivieren Wiederherstellung
(dann aktiviere sie wieder)
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [VGA6 Startup] vgacard6.exe
O4 - HKLM\..\Run: [Windows Service Support Call] SVSS32.EXE
O4 - HKLM\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\Run: [Microsoft Locals] diadushka.exe
O4 - HKLM\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKLM\..\RunServices: [VGA6 Startup] vgacard6.exe
O4 - HKLM\..\RunServices: [Windows Service Support Call] SVSS32.EXE
O4 - HKLM\..\RunServices: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKLM\..\RunServices: [Microsoft Locals] diadushka.exe
O4 - HKLM\..\RunServices: [Microsoft Messenger XP] MSMSN32.exe
O4 - HKCU\..\Run: [Microsoft Locals] diadushka.exe
O4 - HKCU\..\Run: [IExplorer7 Java Scripting] IExplore327.exe
O4 - HKCU\..\Run: [VGA6 Startup] vgacard6.exe
O4 - HKCU\..\Run: [Microsoft Messenger XP] MSMSN32.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {F274E900-2878-4719-87C4-D0E0DE64969E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {F274E900-2878-4719-87C4-D0E0DE64969E} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone
O16 - DPF: Win32 Classes -

PC neustarten--> in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loeschen:
C:\WINDOWS\System32\vgacard6.exe
C:\WINDOWS\System32\SVSS32.EXE
C:\WINDOWS\System32\IExplore327.exe
C:\WINDOWS\System32\bvsgevc.exe
C:\WINDOWS\System32\diadushka.exe
C:\WINDOWS\System32\MSMSN32.exe


gehe wieder in den Normalmodus, deinstalliere den Antivirus free und lade:

•Aktuelle Version der Shareware von F-PROT (DOS)
Lade von dieser Seite:
http://www.f-prot.com/products/corporate_users/dos/

Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt.

http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/
# Kaspersky Anti-Virus 5.0 Personal Testversion (Deutsch, 12.487 KB)

gehe wieder in den abgesicherten Modus und scanne
dann scanne noch mal im Normalmodus und poste das neue Log vom Hijackthis
-----------------------------------------------------------------------------

# Information:
Die Domains *www.xp-antispy.de* und *www.xpantispy.de* gehören weder zum Projekt xp-AntiSpy noch gehören sie zum offiziellen xp-antispy-Projekt !
Der Betreiber versucht ahnungslosen Besuchern einen 0900 Dialerprogramm unterzujubeln. Bitte fallt nicht darauf herein und meidet diese Domains!
Download: xp-AntiSpy (offizielle Homepage)
http://www.xp-antispy.org/index.php?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 14:21
...neu hier

Beiträge: 5
#96 Danke für schnelle Hilfe ! Aber :
bei mir beginnt im "Regedit" alles mit "HKEY"
einen ordner "msnmsgr.exe" odr "MSN Messenger" konnte ich und die Suchoption von regedit nicht finden !????
den einzigsten den ich finden konnte ist der letzte Punkt bei regedit HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\Msdirectx] !
Das ist dann ein kompletter ordner mit mehreren reg.dateien soll ich den wirklich komplett löschen ?

Betrifft alles noch regedit !

sorry bin wohl nicht der helste

:-(
Seitenanfang Seitenende
04.04.2005, 16:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#97 Hannibal78

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


Zitat


-------------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msdirectx]
"ImagePath"=-


------------------------------------------------------------------


in den abgesicherten Modus booten und die fix.reg doppeltklicken, damit sie der Registry beigefuegt wird.

Gehe in die Registry

HKEY_LOCAL_MACHINE>System>CurrentControlSet>Services>msdirectx<--loeschen(komplett)


# In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices

In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe " oder:msnmsgr.exe

# In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>
Windows>CurrentVersion>Run

In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe "oder:msnmsgr.exe

# In the left panel, double-click the following:
HKEY_CURRENT_USER>Software>Microsoft>OLE
In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe "oder:msnmsgr.exe

# In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>Ole
In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe "oder:msnmsgr.exe

# In the left panel, double-click the following:
HKEY_CURRENT_USER>System>CurrentControlSet>Control>Lsa
In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe "oder:msnmsgr.exe

# In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control>Lsa
# In the right panel, locate and delete the entry:
MSN MESSANGER = "msnmsng.exe "oder:msnmsgr.exe

# Close Registry Editor.


dann bleibe gleich im abgesicherten Modus und scanne mit allen Tools

dann: im Normalmodus:

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 19:50
...neu hier

Beiträge: 4
#98 Hi ,


ich habe ebenfalls probleme mit dem troaner lowzones.A sowohl norton als auch antivir zeigen mir meldungen an, dass irgendwelche files infiziert sind, ich kann selbige aber nicht entfernen.

ich habe mich mal an dem bisher gesagten orientiert und hijackthis runtergeladen und ausgeführt und folgendes ergebnis erhalten:

Logfile of HijackThis v1.99.1
Scan saved at 19:21:54, on 04.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\NIKLAS~1\LOKALE~1\Temp\WZSE0.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101814514875
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe


wäre super, wenn ihr mir helfen könntet,

thx niklas
Seitenanfang Seitenende
04.04.2005, 19:57
...neu hier

Beiträge: 5
#99 Hallo, Nixoratio nochmal.

Danke für die Hilfe, war den ganzen Tag unterwegs. Habe jetzt alles durchgeführt, das Du mir empfohlen hast.
Dummerweise war F-Prot trotz frischen Downloads laut Meldung beim Programmstart nicht aktuell, dennoch fand dieses F-Prot bei jedem Durchlauf diese Infection: W32/Parite.B

Ich habe die Reports von F-Prot gesichert:

1. Durchlauf Normalmodus:
Virus scanning report - 4 April 2005 @ 18:51

F-PROT ANTIVIRUS
Program version: 3.16a
Engine version: 3.16.1

VIRUS SIGNATURE FILES
SIGN.DEF created 23 November 2004
SIGN2.DEF created 24 November 2004
MACRO.DEF created 22 November 2004

Search: Local hard disks
Action: Report only
Files: "Dumb" scan of all files
Switches: /ARCHIVE /PACKED
No viruses found in memory.
Hard disk boot sectors were not scanned.

Scanning C:
C:\WINDOWS\SYSTEM32\TFTP2248 Infection: W32/Parite.B
C:\WINDOWS\SYSTEM32\TFTP3760->(UPX) could be infected with an unknown virus
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT Not scanned (in use by another application)
Scanning D:
Scanning E:
Scanning H:
Error on reading H:\
Scanning I:
Error on reading I:\
Scanning J:
Error on reading J:\
Scanning K:
Error on reading K:\

Results of virus scanning:

Files: 5724
MBRs: 0
Boot sectors: 0
Objects scanned: 9097
Infected: 1
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0

Time: 3:36


2. Durchlauf abgesicherter Modus
Virus scanning report - 4 April 2005 @ 19:07

F-PROT ANTIVIRUS
Program version: 3.16a
Engine version: 3.16.1

VIRUS SIGNATURE FILES
SIGN.DEF created 23 November 2004
SIGN2.DEF created 24 November 2004
MACRO.DEF created 22 November 2004

Search: Local hard disks
Action: Report only
Files: "Dumb" scan of all files
Switches: /ARCHIVE /PACKED
No viruses found in memory.
Hard disk boot sectors were not scanned.

Scanning C:
C:\WINDOWS\SYSTEM32\TFTP2248 Infection: W32/Parite.B
C:\WINDOWS\SYSTEM32\TFTP3760->(UPX) could be infected with an unknown virus
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT Not scanned (in use by another application)
Scanning D:
Scanning E:
Scanning H:
Error on reading H:\
Scanning I:
Error on reading I:\
Scanning J:
Error on reading J:\
Scanning K:
Error on reading K:\

Results of virus scanning:

Files: 5725
MBRs: 0
Boot sectors: 0
Objects scanned: 9098
Infected: 1
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0

Time: 7:12


3. Durchlauf Normalmodus:

Virus scanning report - 4 April 2005 @ 19:29

F-PROT ANTIVIRUS
Program version: 3.16a
Engine version: 3.16.1

VIRUS SIGNATURE FILES
SIGN.DEF created 23 November 2004
SIGN2.DEF created 24 November 2004
MACRO.DEF created 22 November 2004

Search: Local hard disks
Action: Report only
Files: "Dumb" scan of all files
Switches: /ARCHIVE /PACKED
No viruses found in memory.
Hard disk boot sectors were not scanned.

Scanning C:
C:\WINDOWS\SYSTEM32\TFTP2248 Infection: W32/Parite.B
C:\WINDOWS\SYSTEM32\TFTP3760->(UPX) could be infected with an unknown virus
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SAM.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SECURITY.LOG Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SYSTEM Not scanned (in use by another application)
C:\WINDOWS\CONFIG\SOFTWARE Not scanned (in use by another application)
C:\WINDOWS\CONFIG\DEFAULT Not scanned (in use by another application)
Scanning D:
Scanning E:
Scanning H:
Error on reading H:\
Scanning I:
Error on reading I:\
Scanning J:
Error on reading J:\
Scanning K:
Error on reading K:\

Results of virus scanning:

Files: 5726
MBRs: 0
Boot sectors: 0
Objects scanned: 9099
Infected: 1
Suspicious: 1
Disinfected: 0
Deleted: 0
Renamed: 0

Time: 6:14



Hier die Log von Hijack This:

Logfile of HijackThis v1.99.1
Scan saved at 19:44:45, on 04.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Dokumente und Einstellungen\Bischof Nixoratio\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [DSLAGENTEXE] dslagent.exe
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\IC\Card Reader Driver v1.9e\Disk_Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Ich schätze F-Prot ist sicherer als Antivir? Hat aber keinen Hintergrundwächter, oder? Und was mach ich mit dem Link zum Kaspersky Antivirus?
Ich hoffe, Du kannst mir nochmal helfen.


Achso, hätt ich fast vergessen:

Du hast mir geschrieben ich solle einige Dateien aus dem System32-Ordner löschen. Das hat auch geklappt, nur die Datei bvsgevc.exe gab es nicht und konnte deshalb nicht gelöscht werden.

Gruß, Nixoratio
Dieser Beitrag wurde am 04.04.2005 um 20:08 Uhr von Nixoratio editiert.
Seitenanfang Seitenende
04.04.2005, 23:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#100 Hallo@Nixoratio

Loesche:
C:\WINDOWS\SYSTEM32\TFTP2248
C:\WINDOWS\SYSTEM32\TFTP3760

deinstalliere vorruebergehend den Antivirus free, dann:
Laden, dann im abgesicherten modus scannen
# Kaspersky Anti-Virus 5.0 Personal Testversion (Deutsch, 12.487 KB)
http://www.computerbase.de/downloads/software/antivirensoftware/kaspersky_anti-virus/

+ poste das neue Log vom HijacktHis

-----------------------------------------------------------------------------

Wie kann ich das Service Pack 2 installieren?


Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren.

[A] Installation über Windows Update (Internet)

1. Wählen Sie im Start-Menü den Befehl Windows Update.
Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt).

2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren.

Installation von CD

1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein.
2. Klicken Sie nach dem Autostart auf Weiter.
3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen.
4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken.
5. Folgen Sie den weiteren Anweisungen.

Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist.

Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.04.2005, 23:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#101 Hallo@Nickyy

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Gehe in die registry
Start-->Ausfuehren--> regedit

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
Remote Procedure Call For Windows 32bit. = rpc.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
loesche:
Remote Procedure Call For Windows 32bit. = rpc.exe

W32/Rbot-MD kann auch den folgenden Registrierungseintrag erstellen:

HKCU\Software\Microsoft\OLE\
loesche:
Remote Procedure Call For Windows 32bit. = rpc.exe

~~~~~~~~~~~

# HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Run
# In the right panel, locate and delete the entry:
Windows SSL File = "WINSSV.EXE"

HKEY_CURRENT_USER>Software>Microsoft>Windows>
CurrentVersion>Runonce
# In the right panel, locate and delete the entry:
Windows SSL File = "WINSSV.EXE"

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>Run
# In the right panel, locate and delete the entry:
Windows SSL File = "WINSSV.EXE"

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>RunOnce
# In the right panel, locate and delete the entry:
Windows SSL File = "WINSSV.EXE"

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>
CurrentVersion>RunServices
# In the right panel, locate and delete the entry:
Windows SSL File = "WINSSV.EXE"

HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Cronation <---loeschen

schliesse die Registry

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe

PC neustarten-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

loesche:
C:\WINDOWS\system32\winssv.exe
C:\WINDOWS\system32\rpc.exe

tftp.exe
rpc.exe
rpctest.exe
tftpd.exe
dcomx.exe
lolx.exe -->L O L X.exe
worm.exe
autorooter.zip

Rundown of the files:
Worm.exe is a self-extracting archive that will create rpc.exe, rpctest.exe and tftp.exe.

deinstalliere den Antivirus free (vorruebergehen) und lade:
dann im abgesicherten modus scannen
•Trial versions of F-Prot Antivirus
http://www.f-prot.com/download/trial_forms/win-corp.html
http://www.f-prot.com/download/corporate/trial/
http://www.f-prot.com/download/home_user/download_fpwin.html

+ poste das neue Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2005, 12:27
...neu hier

Beiträge: 4
#102 Hi Sabina, vielen Dank soweit, ich bin jedoch auf einige Probleme gestoßen,

in der regeistry finde ich unter anderem auch unter folgeden pfaden den eintrag:
Windows SSL File = "WINSSV.EXE“


Arbeitsplatz/HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/run

Arbeitsplatz/HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/runonce

Arbeitsplatz/HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/run

Arbeitsplatz/HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/runonce

soll ich diese auch löschen


Fernen habe ich den Pfad sowie den Eintrag
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Cronation <---loeschen
nicht gefunden.


ich habs erstmal so gelassen und weitergemacht, sodass ich gleich auf das nächste Problem bei hijackthis gestoßen bin, nämlich welche Häkchen ich anklicken muss, bevor ich fix checked starte.

vielen dank soweit,

n.iklas
Seitenanfang Seitenende
05.04.2005, 12:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#103 Hallo@Nickyy

In der Registry musst du alles loeschen, was zu den Viren gehoert !!!!!!!!!!!

in der regeistry finde ich unter anderem auch unter folgeden pfaden den eintrag:
Windows SSL File = "WINSSV.EXE“

Arbeitsplatz/HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/run
Arbeitsplatz/HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/runonce
Arbeitsplatz/HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/run
Arbeitsplatz/HKEY_USERS/S-1-5-18/Software/Microsoft/Windows/CurrentVersion/runonce

Hier sind die Haekchen zu setzen, war doch eindeutig erklaert...oder nicht ? ;)wenn die Eintraege nicht mehr da sind, dann, weil du sie schon in der Registry ausgeloescht hast, du musst aber dennoch den PC neu starten.

Zitat

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\Run: [Windows SSL File] winssv.exe
O4 - HKLM\..\RunServices: [Remote Procedure Call For Windows 32bit.] rpc.exe
O4 - HKLM\..\RunServices: [Windows SSL File] winssv.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.04.2005, 16:51
...neu hier

Beiträge: 4
#104 Hi Sabina,

ich hab mich mal an deinen instruktionen versucht, aber leider noch - glaub ich - mit nur mäßigem erfolg. Deshalb zunächst mein neuster log von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:40:27, on 05.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Cisco Systems\VPN Client\vpngui.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101814514875
O17 - HKLM\System\CCS\Services\Tcpip\..\{17AF3D7C-BEFF-4EF2-94D4-04596A0A4168}: Domain = vpn.uni-freiburg.de
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = vpn.uni-freiburg.de
O17 - HKLM\System\CS1\Services\Tcpip\..\{17AF3D7C-BEFF-4EF2-94D4-04596A0A4168}: Domain = vpn.uni-freiburg.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = vpn.uni-freiburg.de
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



und nun zu den schwierigkeiten/unklarheiten:

1. manche reg-einträge habe ich nicht gefunden, hab aber alles sonst gelöscht. der eintrag "cronation" ließ sich jedoch nicht vollständig löschen.

2. beim darauffolgenden start von hijackthis habe ich die von dir geposteten zeilen nicht gefunden und konnte sie somit nicht mit einem häkchen markieren.

3. daraufhin habe ich den f-prot runtergeladen und den abgesicherten modus gestartet.

die zu löschenden dateien
C:\WINDOWS\system32\winssv.exe
C:\WINDOWS\system32\rpc.exe konnte ich dort nicht finden

genausowenig ließen sich die danach aufgeführten dateien
tftp.exe
rpc.exe
rpctest.exe
tftpd.exe
dcomx.exe
x.exe -->L O L X.exe
worm.exe
autorooter.zip

auffinden (diese waren doch auszuführen, wenn ich das richtig verstanden habe)

4. nach der deinstallation von antivir (norton habe ich auch, muss ich das auch deinstallieren, oder geht das auch so?) habe ich f-prot im abgesicherten modus gestartet und einen scan duchgeführt. dieser zeigte mir einige infizierte dateien an, die das programm aber nicht löschen konnte.

ich hoffe, dass du mir weiterhelfen kannst,

vielen dank mfg thx

n.iklas
Seitenanfang Seitenende
05.04.2005, 17:54
...neu hier

Beiträge: 5
#105 Hallo Sabina !
ich habe da leider noch ein paar per e-scan gefunden

File F:\WINDOWS\system32\msnmsgr.exe infected by "Backdoor.Win32.SdBot.xa" Virus. Action Taken: No Action Taken.

Tue Apr 05 16:18:26 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Tue Apr 05 16:18:27 2005 => Offending value found in HKCU\Software\VB and VBA Program Settings !!!
Tue Apr 05 16:18:27 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Tue Apr 05 16:18:27 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.

File F:\Eigene Dateien\Download wichtig\burn4free_setup.exe infected by "not-a-virus:AdWare.NavExcel.d" Virus. Action Taken: No Action Taken.

Scanning Folder: F:\Programme\AVPersonal\INFECTED\*.*

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP3\A0000092.exe infected by "Trojan.WinREG.LowZones.a" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP7\A0001309.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP7\A0001318.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP7\A0001327.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP7\A0001328.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File F:\System Volume Information\_restore{B4C97E4F-4BBB-48AC-9D7F-2116F44FE826}\RP9\A0001379.sys infected by "Trojan.Win32.Rootkit.h" Virus. Action Taken: No Action Taken.

und das ende

Tue Apr 05 17:21:04 2005 => ***** Scanning complete. *****

Tue Apr 05 17:21:04 2005 => Total Objects Scanned: 106308
Tue Apr 05 17:21:04 2005 => Total Virus(es) Found: 9
Tue Apr 05 17:21:04 2005 => Total Disinfected Files: 0
Tue Apr 05 17:21:04 2005 => Total Files Renamed: 0
Tue Apr 05 17:21:04 2005 => Total Deleted Objects: 0
Tue Apr 05 17:21:04 2005 => Total Errors: 30
Tue Apr 05 17:21:05 2005 => Time Elapsed: 01:03:31
Tue Apr 05 17:21:05 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 17:21:05 2005 => Virus Database Count: 124577

Tue Apr 05 17:21:05 2005 => Scan Completed.

Tue Apr 05 17:21:09 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 17:21:09 2005 => Virus Database Count: 124577
Tue Apr 05 17:21:14 2005 => AV Library Unloaded (3)...
Tue Apr 05 17:43:16 2005 => **********************************************************
Tue Apr 05 17:43:16 2005 => MicroWorld AntiVirus Toolkit Utility.
Tue Apr 05 17:43:16 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Tue Apr 05 17:43:16 2005 => **********************************************************
Tue Apr 05 17:43:16 2005 => Version 6.0.5 (F:\DOKUME~1\Peter\LOKALE~1\Temp\mwavscan.com)
Tue Apr 05 17:43:16 2005 => Log File: F:\DOKUME~1\Peter\LOKALE~1\Temp\MWAV.LOG
Tue Apr 05 17:43:16 2005 => Last Scan Date and Time: 05.04.2005 16:17:22
Tue Apr 05 17:43:16 2005 => Latest Date of files inside MWAV: 04 Apr 2005 11:31:37.
Tue Apr 05 17:43:20 2005 => AV Library Loaded...
Tue Apr 05 17:43:20 2005 => MWAV doing self scanning...
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\kavss.exe
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\Getvlist.exe
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\kavss.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\kavssdi.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\kavssi.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\kavvlg.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\msvlclnt.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\ipc.dll
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\main.avi
Tue Apr 05 17:43:20 2005 => Scanning File F:\DOKUME~1\Peter\LOKALE~1\Temp\virus.avi
Tue Apr 05 17:43:20 2005 => MWAV files are clean.
Tue Apr 05 17:43:21 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 17:43:21 2005 => Virus Database Count: 124577

Danke abermals im voraus !
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: