tr/dldr.small.orThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
19.10.2004, 18:27
...neu hier
Beiträge: 1 |
||
|
||
20.10.2004, 01:01
Ehrenmitglied
Beiträge: 29434 |
#32
Hallo @Lion1979
#Deaktiviere den Zoenalarm..ist wahrscheinlich zerstoert. #Poste das Scan-Log vom Antivirus. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.10.2004 um 01:02 Uhr von Sabina editiert.
|
|
|
||
20.10.2004, 01:06
Ehrenmitglied
Beiträge: 29434 |
#33
Hallo@Schokopirat
Ich kann nichts Auffaelliges finden. Zur Sicherheit: Das eScan AV Toolkit (mwav.exe) herunterladen, http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.10.2004 um 01:06 Uhr von Sabina editiert.
|
|
|
||
21.10.2004, 13:12
...neu hier
Beiträge: 4 |
#34
Hallo Erstmal!
So, ich habe auch das pech diesen Virus zu besitzen! Meine Logfile: Logfile of HijackThis v1.98.2 Scan saved at 13:05:58, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE D:\FRITZ!DSL\Awatch.exe D:\AVPersonal\AVWUPSRV.EXE D:\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINDOWS\System32\winupdate.exe C:\l0ud.exe C:\PROGRA~1\ICQ\ICQ.exe C:\bar.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Sha0lin Masta\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bender.winmuschi.de/phpBB2/index.php O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AWatch] D:\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [update service] winu32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe O4 - HKLM\..\Run: [RUNLOUD] C:\l0ud.exe O4 - HKLM\..\Run: [FUKLBAR] C:\bar.exe O4 - HKLM\..\RunServices: [update service] winu32.exe O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=755d08068289141a8e24c598e1786b8a3e895ddd7e5cf42d510fa821a9b7268f11a065a9f9f48e1e545c8089a759643f6f20b44caf:2df48d0b3c81b61849ed922a43386a44 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093705454843 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E723224A-D0E9-4E0A-8761-3C8A70A889DC}: NameServer = 214.237.151.33,217.237.149.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{EAAE7F0D-628F-46C8-864C-D125B15D121A}: NameServer = 217.237.151.33 217.237.149.225 wäre net wenn di mal einer durchschauen würde denn ich habe keine ahnung wie das alles geht habs hier gelese mit diesem Hijack,hoffentlich ihr könnt helfen Danke PR |
|
|
||
21.10.2004, 14:26
Ehrenmitglied
Beiträge: 29434 |
#35
Hallo@PrinceRakeem
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 Versteckte Ordner\Dateien anzeigen #Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar) http://www.davehigham.zen.co.uk/downloads/xphidden.zip Registry sichern http://www.chip.de/artikel/c_artikelunterseite_8817258.html?tid1=&tid2= Oeffne die Registry Start<Ausfuehren <regedit Gib oben links in die Suchfunktion ein ...und loesche alles , was du findest, auf der rechten Seite der Registry <videosd32 <syscfg32 <l0ud <syscfg32 <winupdate <update service <Win32 Configuration <FUKLBAR <RUNLOUD <Win32 USB2 Driver <update service <Win32 Configuration schliesse die Registry Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PX neustarten R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bender.winmuschi.de/phpBB2/index.php O4 - HKLM\..\Run: [update service] winu32.exe O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe O4 - HKLM\..\Run: [RUNLOUD] C:\l0ud.exe O4 - HKLM\..\Run: [FUKLBAR] C:\bar.exe O4 - HKLM\..\RunServices: [update service] winu32.exe O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=755d08068289141a8e24c598e1786b8a3e895ddd7e5cf42d510fa821a9b7268f11a065a9f9f48e1e545c8089a759643f6f20b44caf:2df4 16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab neustarten und gehe in den abgesicherten Modus (mit Internet) http://www.tu-berlin.de/www/software/virus/savemode.shtml #Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK Suchfunktion von Windows: 1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer" 2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen auswählen: [x] Systemordner durchsuchen [x] Versteckte Elemente durchsuchen [x] Unterordner durchsuchen Loesche: <C:\WINDOWS\System32\winupdate.exe <C:\l0ud.exe <C:\bar.exe <videosd32.exe <syscfg32.exe <winu32.exe Datentraegerbereinigung: und Loeschen der Temporary-Dateien 1. Start<Ausfuehren<cleanmgr #Click Temporary Internet Files, O.K #Temporary Files #Stinger http://vil.nai.com/vil/stinger/ #deinstalliere den Antivirus und lade (alles aus dem abgesicherten Modus heraus) ESCAN http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion) klicke auf: awn2k3e.exe #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp Dann poste das Log noch mal. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 21.10.2004 um 14:31 Uhr von Sabina editiert.
|
|
|
||
21.10.2004, 16:31
Member
Beiträge: 13 |
#36
hi ich wollt auch ma wissen was mein pc für dreck drauf hat.
wäre nett wenn ich ne antwort bekäme, ich hab die log schon kopiert! Logfile of HijackThis v1.98.2 Scan saved at 15:09:58, on 21.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Skoda Personal Firewall\driver\spfirewallsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Skoda Personal Firewall\bin\sppfw.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Win Comm\WinComm.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Dokumente und Einstellungen\- Mike -\Eigene Dateien\Downloads\systemcleaner\hijackthis1982\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Skoda Personal Firewall\bin\sppfw.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O4 - Global Startup: swissagent.lnk = C:\Programme\swissagent\swissagent.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fbdad3301fe3661bc9fc119a7210d9f55df3a4aec389aeab1fbbc8c1c36d750faa4153a74116b6e640509ea730f1f441e1a9e2b83b88cf759c41e85be5da7bdb:81f37ae5707510b7d543a23650ba3cd5 O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab |
|
|
||
21.10.2004, 18:20
...neu hier
Beiträge: 4 |
#37
Zitat Sabina postetebis dahin kein thema! bloss er baut keine verbindung im Abgesicherten Modus auf.... (iNet) |
|
|
||
21.10.2004, 19:15
...neu hier
Beiträge: 1 |
#38
Hallo ihr!
Ich hänge mich jetzt einfach mal hier hintendran... Ich habe/hatte das ding auch, aber bin mir nicht sicher ob es weg ist... und da immer alle hijack logs haben wollen hab ich mal einen gemacht.... aber ich glaube ich bin zu blöd für das ding zu lesen... sorry dass ich hier das forum vollmülle, aber ich poste den log mal: Logfile of HijackThis v1.98.2 Scan saved at 19:13:04, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\carpserv.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe C:\Programme\FRITZ!DSL\Awatch.exe C:\Tools\LittleHelpers\Jukebox\mmtask.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Winamp\winampa.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\iPod\bin\iPodService.exe C:\Dokumente und Einstellungen\Simone\Desktop\HijackThis.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\AVPersonal\AVWIN.EXE R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [mmtask] C:\Tools\LittleHelpers\Jukebox\mmtask.exe O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe" O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file) O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\LittleHelpers\ICQ\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\LittleHelpers\ICQ\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/15365ea9a1a179ab9319/netzip/RdxIE601_de.cab O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab Kann da wer was mit anfangen? LG Ryka |
|
|
||
22.10.2004, 11:40
Ehrenmitglied
Beiträge: 29434 |
#39
Hallo@Savas|2006
W32/Agobot-BH #gehe in die Registry Start<Ausfuehren <regedit Loesche rechts folgende Eintraege: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Communicator = wincomm.exe HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Windows Communicator = wincomm.exe schliesse die Registry Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PC neustarten R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com* O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fbdad3301fe3661bc9fc119a7210d9f55df3a4aec389aeab1fbbc8c1c36d750faa4153a74116b6e640509e neustarten gehe in den abgesicherten Modus, melde dich als Administrator an: Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen. 1. Klicken Sie unter Start auf Arbeitsplatz. 2. Klicken Sie im Menü Extras auf Ordneroptionen. 3. Klicken Sie auf die Registerkarte Ansicht und anschließend auf Versteckte Dateien und Ordner. Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren #deinstalliere\Loesche: (kannst du manuell oder mit dem HijackThis machen) <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: c:\windows\system\wincomm.exe <PC NEUSTARTEN <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\Program Files\Win Comm\WinComm.exe < PC NEUSTARTEN <HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: C:\WINDOWS\Downloaded Program Files\WinCommX.dll <PC NEUSTARTEN Loesche auf diese Weise:\oder manuell: <C:\Program Files\Win Comm\WinComm.exe <C:\Program Files\Win Comm\WinLock.exe <c:\windows\system\wincomm.exe <C:\WINDOWS\Downloaded Program Files\WinCommX.dll C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe __________________________________________________________________ #oeffne noch mal das HijackThis Config< Misc Tools < Open Hosts file Manager < Delete line < loesche alles , lasse nur stehen: 127.1.1.0 localhost #Original Host Datei #Datentraegerbereinigung: und Loeschen der Temporary-Dateien Start<Ausfuehren< reinschreiben : cleanmgr #Click Temporary Internet Files, O.K #Temporary Files #deaktiviere deinen Antivirus \oder deinstalliere ihn voruebergehend und lade: #Testversion "Antivirus Personal 5.0"..mache einen Komplettscann http://www.kaspersky.com/trials _______________________________________________________________________ #Aktualisiere die WindowsUpdates www.windowsupdate.com DENN: (!) W32/Agobot-BH Der Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC Locator-Schwachstellen ausnutzt. Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen können, finden Sie in den Microsoft Security Bulletins MS03-026 und MS03-001. Freigabensuche deaktivieren Bei jedem Systemstart sucht Windows nach Freigaben für Ordner , oder Netzwerk-Drucker. Über die Windows Taste +E , klickst du im Internet Explorer auf Extras > Ordneroptionen > Ansicht > entferne das Häkchen bei automatisch nach Netzwerkordnern und Druckern suchen. Mit O.K. bestätigst du die Eingabe. und das neue log vom HijackThis ebenfalls posten. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.10.2004 um 12:07 Uhr von Sabina editiert.
|
|
|
||
22.10.2004, 12:02
Ehrenmitglied
Beiträge: 29434 |
#40
Hallo @PrinceRakeem
Versuche die Reinigung soweit wie moeglich im abgesicherten Modus und dann lade im Normalmodus die Virenscanner ...und scanne wieder im abgesicherten Modus. Viel Hoffnung mache ich dir aber nicht...das System ist hoffnungslos verseucht mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 22.10.2004 um 12:03 Uhr von Sabina editiert.
|
|
|
||
22.10.2004, 12:06
Ehrenmitglied
Beiträge: 29434 |
#41
Hallo @Ryka
Das Log scheint sauber...aber du kannst es selbst nachpruefen. as eScan AV Toolkit (mwav.exe) herunterladen, (loescht nicht...zeigt nur an) http://www.rokop-security.de/board/index.php?showtopic=3867 * und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken <gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives <und "Scan " klicken. <Öffne die mwav.log -> Bearbeiten -> Suchen -> Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.10.2004, 15:48
...neu hier
Beiträge: 4 |
#42
Zitat Sabina postete! mir egal.... was kann schon passieren? es lauft alles wunderbar und ohne probleme |
|
|
||
23.10.2004, 10:27
Ehrenmitglied
Beiträge: 29434 |
#43
Hallo@PrinceRakeem
Dann poste das Log vom gereinigten PC. Gruss Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.10.2004, 14:19
...neu hier
Beiträge: 4 |
#44
Logfile of HijackThis v1.98.2
Scan saved at 14:19:29, on 23.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe D:\Sygate\SPF\smc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE D:\AVPersonal\AVWUPSRV.EXE D:\FRITZ!DSL\Awatch.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Winamp\winampa.exe D:\AVPersonal\AVGNT.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\ICQ\ICQ.exe D:\Winamp\winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Sha0lin Masta\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bender.winmuschi.de/phpBB2/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AWatch] D:\FRITZ!DSL\Awatch.exe O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093705454843 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E723224A-D0E9-4E0A-8761-3C8A70A889DC}: NameServer = 214.237.151.33,217.237.149.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{EAAE7F0D-628F-46C8-864C-D125B15D121A}: NameServer = 217.237.151.33 217.237.149.225 das müsste es sein |
|
|
||
24.10.2004, 00:54
Ehrenmitglied
Beiträge: 29434 |
#45
Hallo @PrinceRakeem
Du solltest eine Neuinstallation machen. W32/Rbot-LI # Schaltet Antiviren-Anwendungen aus # Ermöglicht Dritten den Zugriff auf den Computer # Lädt Code aus dem Internet herunter # Speichert Tastenfolgen # Installiert sich in der Registrierung _________________________________________________________ Gehe in die Registry Start<Ausfuehren<regedit loesche den Eintrag: [Microsoft Updater] winupdate.exe unter folgenden Schluesseln: HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--veraendere in "Y" HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" veraendere in "0" aber im Grunde hat das Aendern nicht viel Sinn: DENN:::: W32/Rbot-LI erstellt alle 2 Minuten diese Registrierungseinträge: Fixe: O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe neustarten Dann loesche: < KEYS.TXT < C:\WINDOWS\system32\winupdate.exe Immer darauf achten, dass die nicht im Taskmanager aktiv ist (!) #<Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp #BitDefender Scan www.bitdefender.com/scan/Msie/index.php mfg Sabina ***** http://www.sophos.de/virusinfo/analyses/w32rbotli.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 24.10.2004 um 01:12 Uhr von Sabina editiert.
|
|
|
||
Logfile of HijackThis v1.98.2
Scan saved at 18:05:53, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RVS\WCOM\SYSTEM\ccui.exe
C:\Programme\RVS\WCOM\SYSTEM\ccsrv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\download\hjt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.consors.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\RVS\WCOM\SYSTEM\ccui.exe
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7213BA83-8887-44A9-908A-DBA0AE18EDF5}: NameServer = 217.9.36.10 217.9.36.122
Und wie sieht es aus. Vielen Dank für die Hilfe !