tr/dldr.small.orThema ist geschlossen! |
||
|---|---|---|
Thema ist geschlossen! |
||
| #0
| ||
|
17.11.2004, 17:03
...neu hier
Beiträge: 7 |
||
 
|
|
|
|
17.11.2004, 19:46
Ehrenmitglied
 Beiträge: 29434 |
#182
Hallo@padim
#Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php mfg Sabina **** http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.UE **** __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.11.2004 um 19:48 Uhr von Sabina editiert.
|
|
|
|
|
|
|
17.11.2004, 23:39
...neu hier
Beiträge: 7 |
#183
trend system cleaner:
virus found:WORM_NACHI muss schlafn gehn, mach morgn weiter -.- i check scho gar nix mehr, es tauchen dauernt neue sachn auf |
|
|
|
|
|
|
17.11.2004, 23:44
Ehrenmitglied
Beiträge: 29434 |
#184
Hallo@padim
dein PC ist hoffnungslos verseucht ...und ich weiss nicht, ob du in der Registry geloescht hast, was ich dir geschrieben hatte. ___________________________________________________________________ Damit du nicht aus der Uebung kommst: <#Onlinescann" eTrust Antivirus"(nur mit IE moeglich) http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20 #Symantec Online Scan [nur mit IE moeglich] http://security.symantec.com/SSC/GetBrowser.asp?pkj=HHIVBMRSJRFSKLUKUMX&langid=ie&venid=sym&plfid=00&from=/ssc/lunavbrk.asp #<Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #BitDefender Scan www.bitdefender.com/scan/Msie/index.php mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 17.11.2004 um 23:45 Uhr von Sabina editiert.
|
|
|
|
|
|
|
18.11.2004, 18:21
...neu hier
Beiträge: 7 |
#185
ok wenn ich jetzt so an derb verseuchtn pc hab warum auch immer :/ es läuft ois supa i hab nur in ziemlich vielen fälln kursive schrift und symbole schrift aber das ist nicht weiter nervig, funktioniert alles supa, falls i dann doch mal formatier, kannst du mir schreiben was i machn kann damit i nicht wieder so viel raufkrieg.
jetzt use ich xp firewall sp2 und antivir, adaware und das hats nicht verhindert 
|
|
|
|
|
|
|
19.11.2004, 00:46
Ehrenmitglied
Beiträge: 29434 |
#186
Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren microsoft.public.de.security.heimanwender FAQ http://faq.underflow.de/#SECTION000110000000000000000 #NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org 5)Antivirus installieren, oder Kaspersky oder eScan oder F-Prot mit integrierter Firewall 6) Sygate free installieren <Sygate (Deutsch)Firewall http://www.sygate.de/ 7.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren (Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren) #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html ............................................................................. #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! #Spywareblaster http://www.javacoolsoftware.com/sbdownload.html #Search&Destroy http://www.safer-networking.org/de/download/index.html So sichern Sie sich vor Viren, Trojanern und anderen ungebetenen Gästen http://www.comsafe.de/ mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
|
27.11.2004, 14:44
...neu hier
Beiträge: 3 |
#187
Hallo,
ich lese diesen Thread seit ein paar Tagen, da AntiVir ebenfalls TR/Dldr.Small.OR und TR/Dldr.Agent.CB auf meinem Rechner gefunden hat. Ich habe mich an die hier gegebenen Vorschläge gehalten und den Rechnen im abgeschicherten Modus mit ESCAN gescannt (vorher bei "Systemwiederherstellung deaktiveren" ein Häckchen gesetzt), dann die entsprechenden Dateien mit KillBox gelöscht, dananach den Rechnen neu gestartet und nochmal mít AntiVir geprüft und wieder wurde TR/Dldr.Small.OR und TR/Dldr.Agent.CB auf meinem Rechnen gefunden. Logfile von Highjackthis sieht jetzt folgendermaßen aus: Logfile of HijackThis v1.98.2 Scan saved at 14:42:20, on 27.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\brsvc01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\brss01a.exe C:\WINDOWS\Explorer.EXE C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Belkin\Bluetooth Software\bin\by the way.exe C:\Programme\Norton Utilities\NPROTECT.EXE C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\PROGRA~1\PESTPA~1\PPControl.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Speed Disk\nopdb.exe C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Belkin\Bluetooth Software\BTTray.exe C:\Programme\Norton Utilities\SYSDOC32.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Polli\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\Zone Labs\ZoneAlarm\zapro.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [FinePrint Dispatcher v5] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm O9 - Extra button: SchnapperPlus - {D6243B39-211B-440D-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPlus\SchnapperPlus.exe (file missing) O9 - Extra button: SchnapperPro - {D6243B39-211B-440E-B4C5-26D2A579CAC8} - C:\Programme\SchnapperPro\SchnapperPro.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot\plmg.exe (HKCU) O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/c381/chat.cab O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094468023271 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab Leider kann ich damit nicht sehr viel anfangen, aber vielleicht ist jemand so nett und erklärt mir, wie ich die Dateien wieder loswerden kann. Vielen Dank im Voraus... Jezzbelle |
|
|
|
|
|
|
27.11.2004, 15:18
Ehrenmitglied
Beiträge: 29434 |
#188
Hallo@Jezzbelle
der erste und wichtigste Schritt ist , dass du den IE (und Windows) updates. #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php -------------------------------------------------------------------------------- xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" suche und loesche: TR/Dldr.Small.OR <C:\explorer.cab <explorer.exe <C:\WINDOWS\Downloaded Program Files\d_tony4.exe <C:\WINDOWS\Downloaded Program Files\CONFLICT.1\d_tony4.exe <C:\WINDOWS\Downloaded Program Files\CONFLICT.2\d_tony4.exe <C:\WINDOWS\Downloaded Program Files\CONFLICT.3\d_tony4.exe TR/Dldr.Agent.CB <C:\w32_API.cab (WIN-RAR Datei) <hermes.exe <adapi.exe dann: Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k MRU-Clear XP 1.2 Windows merkt sich von jedem Benutzer die zuletzt benutzten Dateien und ausgeführten Funktionen. Diese Einstellungen werden nicht in einer extra Datei, sondern in der Registrierdatenbank abgelegt. Auf diese MRU-Einträge der einzelnen USER kann aber auch ein anderer Benutzer über die Registry zugreifen und so feststellen, was der Anwender denn so als letztes auf seinem Rechner gemacht hat. Diese MRU-Listen können Sie mit MRU-Clear XP anzeigen und löschen. http://www.ok-s.de/download/download.html dann: Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 ---------------------------------------------------------------------------------------- dann: posten: dann scanne mit eScan und Antivirus und poste vom Antivirus das Scanlog und vom Escan: <Öffne die mwav.log [oder: -->klick: "view Log" ] -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem "eScan- Log" finden will, sollte man nach infected suchen und die Einträge hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.11.2004 um 15:45 Uhr von Sabina editiert.
|
|
|
|
|
|
|
27.11.2004, 21:14
...neu hier
Beiträge: 3 |
#189
Hallo,
erstmal vielen Dank für die superschnelle Antwort. Ich bin gerade dabei alles der Reihe nach abzuarbeiten. Ich melde mich sobald ich alles erledigt habe. Bis dann... Jezzbelle |
|
|
|
|
|
|
28.11.2004, 06:32
...neu hier
Beiträge: 1 |
#190
Hi habe den virus TR/Dldr.Small.OR bei mir entdeckt und zwar auch mit der explorer.cab und seitdem ich das habe funktioniert auch irgendwie mein cd rom laufwerk nimmer u.s.w :i hier mal meine HJT Log hoffe Ihr könnt mir weiter helfen :I
Logfile of HijackThis v1.98.2 Scan saved at 21:28:45, on 27.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\fcklb.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Internet Call Director\ICD.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\^^\Desktop\pruefung.com.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS10 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.electronic-gaming.org/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 68.32.28.30:3382 F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam_new\steam.exe" -silent O4 - Startup: Internet Call Director.LNK = C:\Programme\Internet Call Director\ICD.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {9BFC2253-B9D9-477E-9488-CA450232620D} (BinAg1 Class) - https://merlin.telus.net/wizlet/Qualifier/static/controls/WebflowActiveX.CAB O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{8C596F03-0B4F-4D8D-8F9E-E7AF5388B04B}: NameServer = 204.174.64.1 204.174.65.1 |
|
|
|
|
|
|
28.11.2004, 14:26
Ehrenmitglied
Beiträge: 29434 |
#191
Hallo@tronic
#Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php -------------------------------------------------------------------------------- Loesche: C:\WINDOWS\System32\fcklb.exe Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 Dann berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.11.2004 um 14:28 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.11.2004, 10:51
Member
Beiträge: 16 |
#192
Hi sabina und all die anderen, die hier mit Rat und Tat helfen,
großes Kompliment! Auch ich habe ein Problem mit einem Trojaner, nämlich TR/Dldr.Small.VN, wie er von Antivir bezeichnet wird: 26.11.2004,10:18:52 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Small.VN! C:\SYSTEM VOLUME INFORMATION\_RESTORE{76C3ECE2-15C1-4EB2-839A-F6FAB3D79A81}\RP44\A0025790.EXE Das Log von HJT ergibt folgendes: Logfile of HijackThis v1.98.2 Scan saved at 10:38:28, on 30.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Power Management\PwrGui.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2BCB52-4E12-4A92-BD84-11909893333C}: NameServer = 192.168.121.252,192.168.121.253 Es wäre super nett, wenn Ihr da mal drüber gucken würdet, und mir dann kurz Bescheid gebt, was ich da machen kann. Besteht noch Hoffnung? Vielen Dank, "Bad"man |
|
|
|
|
|
|
30.11.2004, 12:35
Ehrenmitglied
Beiträge: 29434 |
#193
Hallo@badman
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\twink64.exe internat.dll,LoadKeyboardProfile O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe neustarten Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein. #Telnet Starttyp-Empfehlung: Deaktiviert (aus Sicherheitsgründen) "Ermöglicht einem Remotebenutzer, sich an diesem Computer anzumelden und Programme auszuführen. Unterstützt verschiedene TCP/IP-Telnetclients, einschließlich UNIX-basierten und Windows-basierten Computern. suche und loesche: <C:\WINDOWS\System32\twink64.exe ueberpruefe (poste mir bitte das Ergebnis  mmrtkrnl.exe * http://virusscan.jotti.dhs.org/ * auf Durchsuchen klicken und die zu untersuchende Datei öffnen - jede Datei (max 10MB) einzeln scannen, keine Archive scannen! * auf Submit klicken - unterhalb des Textblocks wird jetzt der Status angezeigt, zunächst uploading file, please wait = Datei wird hochgeladen, bitte warten , danach inconclusive (scan still in progress) = Scan noch nicht abgeschlossen und letztendlich das Ergebnis des Scans, das laut Statistik (weiter unten auf der Seite) zu etwa 99% akkurat ist... Datenträgerbereinigung: und Löschen der Temporary-Dateien <Start<Ausfuehren--> reinschreiben : cleanmgr loesche nur: #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k dann arbeite das hier ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 can be manually installed, or downloaders can install it that take advantage of an Internet Explorer vulnerability. For more information, and a patch for the vulnerability, see Microsoft Security Bulletin MS04-013. #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html ___________________________________________________________________ dann berichte. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.11.2004 um 13:04 Uhr von Sabina editiert.
|
|
|
|
|
|
|
30.11.2004, 16:11
Member
Beiträge: 16 |
#194
Hallo @ Sabina,
vielen Dank für die schnelle Antwort. Bin gemäß Deiner Anleitung wie folgt vorgegangen, aber ich habe da noch ein paar Fragen: 1. Wiederherstellung deaktiviert => o.k. 2. mit Hijack die zwei Einträge gefixt => o.k. 3. Diensteverwaltung => habe ich nicht verstanden, was Du da wolltest 4. twink64.exe => soll ich die wirklich löschen? Ist das keine Systemdatei? 5. was soll ich mit dem Virusscan von jotti machen? 6. Datenträgerbereinigung => o.k. 7. eScan und killbox => o.k., d.h. aus dem log file alle "infected" Dateien in killbox kopiert und gelöscht Dabei zeigte mir eScan vorher folgende "infected" Dateien an: File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File C:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.001 infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\BLACKBOX[1].CLASS.VIR infected by "Trojan.Java.ClassLoader.c" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.001 infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\DUMMY[1].CLASS.VIR infected by "Trojan.Java.ClassLoader.Dummy.d" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\ISTACTIVEX.DLL.001 infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\ISTACTIVEX.DLL.VIR infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\LOADCLEAN.EXE.001 infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\LOADCLEAN.EXE.VIR infected by "TrojanDownloader.Win32.Delf.cb" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\TWINK64.EXE.VIR infected by "Trojan-Downloader.Win32.Small.vn" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\VERIFIERBUG[1].CLASS.VIR infected by "Exploit.Java.Bytverify" Virus. Action Taken: No Action Taken. File C:\Programme\AVPersonal\INFECTED\XDLDR17.EXE.VIR infected by "TrojanDownloader.Win32.Small.fo" Virus. Action Taken: No Action Taken. File C:\Software\Sonst\DivX505Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File C:\WINDOWS\system32\services\elite.exe infected by "TrojanClicker.Win32.Agent.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\services\loud234.exe infected by "TrojanClicker.Win32.Agent.v" Virus. Action Taken: No Action Taken. File C:\WINDOWS\system32\services\msxmidi.exe infected by "TrojanDownloader.Win32.Small.ka" Virus. Action Taken: No Action Taken. File D:\Driver\SIS_AGP_1.14\AGP\htpatch\HTpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File D:\System Volume Information\_restore{D9D99D50-1F81-4A54-B133-39600F75CD58}\RP2\A0018157.exe tagged as not-a-virus:Tool.Win32.HTPatch.b. No Action Taken. File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Mein Log von HiJack sieht jetzt so aus: Logfile of HijackThis v1.98.2 Scan saved at 16:12:22, on 30.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Power Management\PwrGui.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\Programme\Microsoft Works\MSWorks.exe C:\DOKUME~1\Markus\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wiwi.uni-muenster.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [PowerManagement] C:\Programme\Power Management\PwrGui.exe O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {E05EC57C-ECD9-431C-981D-15573E34076E} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/ O17 - HKLM\System\CCS\Services\Tcpip\..\{CD2BCB52-4E12-4A92-BD84-11909893333C}: NameServer = 192.168.121.252,192.168.121.253 Wäre super nett, wenn Du da noch mal drüber guckst und mir dann noch mal sagst, was ich jetzt noch machen kann. Vielen Dank, Badman |
|
|
|
|
|
|
30.11.2004, 17:29
Ehrenmitglied
Beiträge: 29434 |
#195
Hallo@badman
Troj/Dloader-BW versucht, EXE-Dateien von remoten Websites als intron.exe, ir.exe, lpt.exe und usb.exe in den Windows-Systemordner herunterzuladen und auszuführen. Der Trojaner kopiert sich als twink64.exe in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Systemanmeldung gestartet wird: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ ControlPanel = <Windows system>\twink64.exe internat.dll,LoadKeyboardProfile also loeschen: <C:\WINDOWS\System32\twink64.exe ------------------------------------------------------------------------------ ebenfalls loeschen: <C:\WINDOWS\system32\services\elite.exe <C:\WINDOWS\system32\services\loud234.exe <C:\WINDOWS\system32\services\msxmidi.exe Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" http://computercops.biz/postp237756.html mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 30.11.2004 um 17:31 Uhr von Sabina editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Zitat
hab i schon biem letztn mal gemacht, wird das immer wieder aktiviert nachm reboot ?Zitat
so jetzt hab i das selbe problem wie immer, egal ob i versteckte ordner und datein freigebe, es findet diese infizierten files nie :/ egal ob manuell oder mit hijackthis.