tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
19.10.2004, 18:27
...neu hier

Beiträge: 1
#31 Hier sind meine Logs

Logfile of HijackThis v1.98.2
Scan saved at 18:05:53, on 19.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RVS\WCOM\SYSTEM\ccui.exe
C:\Programme\RVS\WCOM\SYSTEM\ccsrv.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\download\hjt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.consors.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ad-aware] "C:\Programme\Lavasoft\Ad-aware 6\Ad-aware.exe" +c
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [routcnf] C:\Programme\DeTeWe\TA 33 USB\routcnf.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\RunOnce: [CommCenter] C:\Programme\RVS\WCOM\SYSTEM\ccui.exe
O4 - Startup: FlatrateSteckdose.lnk = C:\Programme\iOpus Flatrate Steckdose\flatrate.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potc_x.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F7} (Flatcast Viewer 4.10) - http://www.1mal1.com/flatcast/NpFv410.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7213BA83-8887-44A9-908A-DBA0AE18EDF5}: NameServer = 217.9.36.10 217.9.36.122

Und wie sieht es aus. Vielen Dank für die Hilfe !
Seitenanfang Seitenende
20.10.2004, 01:01
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#32 Hallo @Lion1979

#Deaktiviere den Zoenalarm..ist wahrscheinlich zerstoert.

#Poste das Scan-Log vom Antivirus.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.10.2004 um 01:02 Uhr von Sabina editiert.
Seitenanfang Seitenende
20.10.2004, 01:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 Hallo@Schokopirat

Ich kann nichts Auffaelliges finden.
Zur Sicherheit:

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 20.10.2004 um 01:06 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.10.2004, 13:12
...neu hier

Beiträge: 4
#34 Hallo Erstmal!


So, ich habe auch das pech diesen Virus zu besitzen!

Meine Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 13:05:58, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
D:\FRITZ!DSL\Awatch.exe
D:\AVPersonal\AVWUPSRV.EXE
D:\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\winupdate.exe
C:\l0ud.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\bar.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sha0lin Masta\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bender.winmuschi.de/phpBB2/index.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AWatch] D:\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\Run: [RUNLOUD] C:\l0ud.exe
O4 - HKLM\..\Run: [FUKLBAR] C:\bar.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=755d08068289141a8e24c598e1786b8a3e895ddd7e5cf42d510fa821a9b7268f11a065a9f9f48e1e545c8089a759643f6f20b44caf:2df48d0b3c81b61849ed922a43386a44
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093705454843
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E723224A-D0E9-4E0A-8761-3C8A70A889DC}: NameServer = 214.237.151.33,217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAAE7F0D-628F-46C8-864C-D125B15D121A}: NameServer = 217.237.151.33 217.237.149.225


wäre net wenn di mal einer durchschauen würde denn ich habe keine ahnung wie das alles geht ;) habs hier gelese mit diesem Hijack,hoffentlich ihr könnt helfen

Danke PR
Seitenanfang Seitenende
21.10.2004, 14:26
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Hallo@PrinceRakeem

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Versteckte Ordner\Dateien anzeigen
#Lade die zip-Datei<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

Registry sichern
http://www.chip.de/artikel/c_artikelunterseite_8817258.html?tid1=&tid2=


Oeffne die Registry

Start<Ausfuehren <regedit
Gib oben links in die Suchfunktion ein ...und loesche alles , was du findest, auf der rechten Seite der Registry

<videosd32
<syscfg32
<l0ud
<syscfg32

<winupdate
<update service
<Win32 Configuration
<FUKLBAR
<RUNLOUD
<Win32 USB2 Driver
<update service
<Win32 Configuration

schliesse die Registry

Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PX neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bender.winmuschi.de/phpBB2/index.php
O4 - HKLM\..\Run: [update service] winu32.exe
O4 - HKLM\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Updater] winupdate.exe
O4 - HKLM\..\Run: [RUNLOUD] C:\l0ud.exe
O4 - HKLM\..\Run: [FUKLBAR] C:\bar.exe
O4 - HKLM\..\RunServices: [update service] winu32.exe
O4 - HKLM\..\RunServices: [Win32 Configuration] videosd32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] syscfg32.exe
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe
O4 - HKCU\..\Run: [Win32 Configuration] videosd32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] syscfg32.exe
O4 - HKCU\..\Run: [Microsoft Updater] winupdate.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=755d08068289141a8e24c598e1786b8a3e895ddd7e5cf42d510fa821a9b7268f11a065a9f9f48e1e545c8089a759643f6f20b44caf:2df4
16 - DPF: {CC05BC12-2AA2-4AC7-AC81-0E40F83B1ADF} (Live365Player Class) - http://www.live365.com/players/play365.cab

neustarten und gehe in den abgesicherten Modus (mit Internet)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


Loesche:
<C:\WINDOWS\System32\winupdate.exe
<C:\l0ud.exe
<C:\bar.exe
<videosd32.exe
<syscfg32.exe
<winu32.exe

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Stinger
http://vil.nai.com/vil/stinger/

#deinstalliere den Antivirus und lade (alles aus dem abgesicherten Modus heraus)
ESCAN
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp


Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.10.2004 um 14:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.10.2004, 16:31
Member

Beiträge: 13
#36 hi ich wollt auch ma wissen was mein pc für dreck drauf hat.
wäre nett wenn ich ne antwort bekäme, ich hab die log schon kopiert!


Logfile of HijackThis v1.98.2
Scan saved at 15:09:58, on 21.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Skoda Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Skoda Personal Firewall\bin\sppfw.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Program Files\Win Comm\WinComm.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Dokumente und Einstellungen\- Mike -\Eigene Dateien\Downloads\systemcleaner\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Skoda Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - Global Startup: swissagent.lnk = C:\Programme\swissagent\swissagent.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fbdad3301fe3661bc9fc119a7210d9f55df3a4aec389aeab1fbbc8c1c36d750faa4153a74116b6e640509ea730f1f441e1a9e2b83b88cf759c41e85be5da7bdb:81f37ae5707510b7d543a23650ba3cd5
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web11.cab
Seitenanfang Seitenende
21.10.2004, 18:20
...neu hier

Beiträge: 4
#37

Zitat

Sabina postete
Hallo@PrinceRakeem



neustarten und gehe in den abgesicherten Modus (mit Internet)
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK

Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


Loesche:
<C:\WINDOWS\System32\winupdate.exe
<C:\l0ud.exe
<C:\bar.exe
<videosd32.exe
<syscfg32.exe
<winu32.exe

Datentraegerbereinigung: und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#Stinger
http://vil.nai.com/vil/stinger/

#deinstalliere den Antivirus und lade (alles aus dem abgesicherten Modus heraus)
ESCAN
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)
klicke auf: awn2k3e.exe

#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp


Dann poste das Log noch mal.

mfg
Sabina
bis dahin kein thema! bloss er baut keine verbindung im Abgesicherten Modus auf.... (iNet)
Seitenanfang Seitenende
21.10.2004, 19:15
...neu hier

Beiträge: 1
#38 Hallo ihr!

Ich hänge mich jetzt einfach mal hier hintendran...
Ich habe/hatte das ding auch, aber bin mir nicht sicher ob es weg ist... und da immer alle hijack logs haben wollen hab ich mal einen gemacht.... aber ich glaube ich bin zu blöd für das ding zu lesen... sorry dass ich hier das forum vollmülle, aber ich poste den log mal:

Logfile of HijackThis v1.98.2
Scan saved at 19:13:04, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\carpserv.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Tools\LittleHelpers\Jukebox\mmtask.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Simone\Desktop\HijackThis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [mmtask] C:\Tools\LittleHelpers\Jukebox\mmtask.exe
O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C42 Series" /O6 "USB001" /M "Stylus C42"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [ATI Launchpad] "C:\Programme\ATI Multimedia\main\launchpd.exe"
O4 - HKCU\..\Run: [ATI Remote Control] C:\Programme\ATI Multimedia\RemCtrl\ATIRW.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ATI TV - {44226DFF-747E-4edc-B30C-78752E50CD0C} - C:\Programme\ATI Multimedia\tv\EXPLBAR.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\LittleHelpers\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Tools\LittleHelpers\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/15365ea9a1a179ab9319/netzip/RdxIE601_de.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab

Kann da wer was mit anfangen?

LG
Ryka
Seitenanfang Seitenende
22.10.2004, 11:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#39 Hallo@Savas|2006

W32/Agobot-BH

#gehe in die Registry
Start<Ausfuehren <regedit

Loesche rechts folgende Eintraege:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows Communicator = wincomm.exe

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Windows Communicator = wincomm.exe

schliesse die Registry

Oeffne das HijackThis, scan, hake an, was ich schreibe, <fix< und PC neustarten

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.130/e9xr2.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=fbdad3301fe3661bc9fc119a7210d9f55df3a4aec389aeab1fbbc8c1c36d750faa4153a74116b6e640509e

neustarten
gehe in den abgesicherten Modus, melde dich als Administrator an
:

Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen.
1. Klicken Sie unter Start auf Arbeitsplatz.
2. Klicken Sie im Menü Extras auf Ordneroptionen.
3. Klicken Sie auf die Registerkarte Ansicht und anschließend auf Versteckte Dateien und Ordner.

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

#deinstalliere\Loesche: (kannst du manuell oder mit dem HijackThis machen)
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\windows\system\wincomm.exe <PC NEUSTARTEN

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Program Files\Win Comm\WinComm.exe < PC NEUSTARTEN

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\WINDOWS\Downloaded Program Files\WinCommX.dll <PC NEUSTARTEN

Loesche auf diese Weise:\oder manuell:
<C:\Program Files\Win Comm\WinComm.exe
<C:\Program Files\Win Comm\WinLock.exe
<c:\windows\system\wincomm.exe
<C:\WINDOWS\Downloaded Program Files\WinCommX.dll

C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
__________________________________________________________________
#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Start<Ausfuehren< reinschreiben : cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

#deaktiviere deinen Antivirus \oder deinstalliere ihn voruebergehend und lade:
#Testversion "Antivirus Personal 5.0"..mache einen Komplettscann
http://www.kaspersky.com/trials
_______________________________________________________________________
#Aktualisiere die WindowsUpdates
www.windowsupdate.com
DENN: (!)
W32/Agobot-BH
Der Wurm kopiert sich auf Netzwerkfreigaben mit einfachen Kennwörtern und versucht, sich auf Computer zu verbreiten, indem er die DCOM RPC- und die RPC Locator-Schwachstellen ausnutzt.
Durch diese Schwachstellen kann der Wurm seinen Code auf den Zielcomputern mit Systemrechten ausführen. Weitere Informationen über diese Schwachstellen und Hinweise dazu, wie Sie Ihre Computer vor solchen Angriffen schützen können, finden Sie in den Microsoft Security Bulletins MS03-026 und MS03-001.

Freigabensuche deaktivieren
Bei jedem Systemstart sucht Windows nach Freigaben für Ordner , oder Netzwerk-Drucker. Über die Windows Taste +E , klickst du im Internet Explorer auf Extras > Ordneroptionen > Ansicht > entferne das Häkchen bei automatisch nach Netzwerkordnern und Druckern suchen. Mit O.K. bestätigst du die Eingabe.

und das neue log vom HijackThis ebenfalls posten.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.10.2004 um 12:07 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.10.2004, 12:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#40 Hallo @PrinceRakeem

Versuche die Reinigung soweit wie moeglich im abgesicherten Modus und dann lade im Normalmodus die Virenscanner ...und scanne wieder im abgesicherten Modus.

Viel Hoffnung mache ich dir aber nicht...das System ist hoffnungslos verseucht

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 22.10.2004 um 12:03 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.10.2004, 12:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Hallo @Ryka

Das Log scheint sauber...aber du kannst es selbst nachpruefen.

;)as eScan AV Toolkit (mwav.exe) herunterladen, (loescht nicht...zeigt nur an)
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
22.10.2004, 15:48
...neu hier

Beiträge: 4
#42

Zitat

Sabina postete
Hallo @PrinceRakeem

Versuche die Reinigung soweit wie moeglich im abgesicherten Modus und dann lade im Normalmodus die Virenscanner ...und scanne wieder im abgesicherten Modus.

Viel Hoffnung mache ich dir aber nicht...das System ist hoffnungslos verseucht

mfg
Sabina
lol! mir egal.... was kann schon passieren?
es lauft alles wunderbar und ohne probleme
Seitenanfang Seitenende
23.10.2004, 10:27
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Hallo@PrinceRakeem

Dann poste das Log vom gereinigten PC.

Gruss
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.10.2004, 14:19
...neu hier

Beiträge: 4
#44 Logfile of HijackThis v1.98.2
Scan saved at 14:19:29, on 23.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
D:\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVPersonal\AVGUARD.EXE
D:\AVPersonal\AVWUPSRV.EXE
D:\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Winamp\winampa.exe
D:\AVPersonal\AVGNT.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\ICQ\ICQ.exe
D:\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sha0lin Masta\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bender.winmuschi.de/phpBB2/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\FlashFXP\IEFlash.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AWatch] D:\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Winamp\winampa.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SmcService] D:\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab30149.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093705454843
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab30149.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E723224A-D0E9-4E0A-8761-3C8A70A889DC}: NameServer = 214.237.151.33,217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{EAAE7F0D-628F-46C8-864C-D125B15D121A}: NameServer = 217.237.151.33 217.237.149.225

das müsste es sein
Seitenanfang Seitenende
24.10.2004, 00:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Hallo @PrinceRakeem

Du solltest eine Neuinstallation machen.

W32/Rbot-LI
# Schaltet Antiviren-Anwendungen aus
# Ermöglicht Dritten den Zugriff auf den Computer
# Lädt Code aus dem Internet herunter
# Speichert Tastenfolgen
# Installiert sich in der Registrierung
_________________________________________________________

Gehe in die Registry
Start<Ausfuehren<regedit

loesche den Eintrag: [Microsoft Updater] winupdate.exe unter folgenden Schluesseln:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--veraendere in "Y"
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" veraendere in "0"

aber im Grunde hat das Aendern nicht viel Sinn: DENN::::
W32/Rbot-LI erstellt alle 2 Minuten diese Registrierungseinträge:

Fixe:
O4 - HKLM\..\RunServices: [Microsoft Updater] winupdate.exe

neustarten

Dann loesche:
< KEYS.TXT
< C:\WINDOWS\system32\winupdate.exe

Immer darauf achten, dass die
nicht im Taskmanager aktiv ist (!)

#<Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp
#BitDefender Scan
www.bitdefender.com/scan/Msie/index.php

mfg
Sabina
*****
http://www.sophos.de/virusinfo/analyses/w32rbotli.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 24.10.2004 um 01:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: