tr/dldr.small.or

Thema ist geschlossen!
Thema ist geschlossen!
#0
27.10.2004, 17:02
...neu hier

Beiträge: 6
#91 Danke soweit,
die dateien habe ich schon mithilfe von Killbox gelöscht, die backups im "submit via norton unter quarantine gestellt und dann gelöscht (hoffe das war richtig ^^)
Ich scanne dann mal...
Seitenanfang Seitenende
27.10.2004, 17:13
...neu hier

Beiträge: 4
#92 Hallo,

habe auch da Problem. Kann mir jemand weiterhelfen ? Hier die Logfile

Danke Hauke

Logfile of HijackThis v1.98.2
Scan saved at 17:12:29, on 27.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?0&4&
unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown&unknown
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253
Dieser Beitrag wurde am 27.10.2004 um 17:37 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.10.2004, 17:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#93 Hallo@Hauke.1

Oeffne das HijackThis<scan< hake an<fix< PC neustarten

O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup -s
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} (MetaStreamCtl Class) - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_popup.pl?


#deinstalliere:

C:\Programme\NewDotNet

#LSPfix.exe laden
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

bringe die <newdotnet6_38.dll<
von der linken auf die rechte Seite und loesche sie.

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

#NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ + Entbinden des NetBios

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.rokop-security.de/board/index.php?showtopic=3867
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.
<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten


dann poste das Log noch mal.


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.10.2004 um 17:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.10.2004, 18:56
...neu hier

Beiträge: 6
#94 Hallo Sabina

Ich habe im abgesicherten Modus meinen Rechner nochmal mit eScan gescannt und er wurde nicht fündig. Er meldete zwar einen Fund zeigte ihn aber irgendwie nicht an ^^
HIer nochmal die aktuelle HiJachthis Log. hoffe mein Rechner ist nu sauber.

Logfile of HijackThis v1.98.2
Scan saved at 18:50:51, on 27.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\PCI Audio Applications\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\WINDOWS\system32\ntvdm.exe
C:\T-ONLINE\BSW4\ToDuCAlC.EXE
d:\progra~1\mozilla.org\mozilla\mozilla.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\.dreck\Eigene Dateien\hijackthis2\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{B621D02E-BBC5-47A6-9D63-8DA02A289BDC}: NameServer = 217.237.151.225 217.237.150.225

Danke.
gruß Spectre
Seitenanfang Seitenende
27.10.2004, 19:27
Member

Beiträge: 14
#95 DANKE SABINA und ALLE ANDEREN!!!!

tibby
Seitenanfang Seitenende
27.10.2004, 20:24
Member

Beiträge: 21
#96 hi leute ich bins nochmal..
hab soweit alles gemacht was ich hinbekommen hab (teilweise warn dateien die ich klöschen sollte garnet vorhanden o.O)
egal... jedenfalls hier mein aktuelles hijack-log

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MSI\Live Update 3\LMonitor.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
C:\Programme\Mousometer\mousometer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Viren und Trojantools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [LiveMonitor] C:\Programme\MSI\Live Update 3\LMonitor.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Mousometer.lnk = C:\Programme\Mousometer\mousometer.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st840\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C5DD750-D426-466A-9A33-052166E90906}: NameServer = 217.237.150.33,194.25.2.129

ich hab ja davon keine ahnung aber ich glaub es is alles sauber oder ??

greetz

the crow
Dieser Beitrag wurde am 28.10.2004 um 10:14 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.10.2004, 10:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#97 Hallo@TheCrow

Gehe bitte in die Registry
Start<Ausfuehren<regedit:

suche, ob du folgendes findest:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Enum\Root\LEGACY_"L O L " mit dem Anzeigennamen "Win32 USB2 Driver".

Dann mache folgendes:
eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
*
und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen. (oder unter Start<Ausfuehren<%temp% die kavupd.exe suchen) und anklicken
<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives
<und "Scan " klicken.

<Öffne die mwav.log -> Bearbeiten -> Suchen ->
Wenn man infizierte Dateien in dem eScan Log finden will, sollte man nach infected suchen und die Eintraege hier posten

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.10.2004 um 10:15 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.10.2004, 10:23
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#98 Hallo@Spectre

Fixe:

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.


#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.10.2004 um 10:33 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.10.2004, 21:28
...neu hier

Beiträge: 4
#99 Hallo Sabina,

Danke erstmal...

HIer ist der VirenLog von esave

File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\webhancer.exe tagged as not-a-virus:AdWare.WebHancer. No Action Taken.

File C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\new_net.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.

File C:\ied_s7m.cab infected by "TrojanDownloader.Win32.Mediket.a" Virus. Action Taken: No Action Taken.

File D:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\WINNT\twain_32\stdsc\unreg.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Programme\filesubmit\The Matrix Reloaded 3D Screensaver\nnezt388.exe tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.

File D:\Programme\NewDotNet\newdotnet3_88.dll tagged as not-a-virus:AdWare.NewDotNet. No Action Taken.

File G:\alt D\nitro\codecs\New_Codecs.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File G:\alt D\RECYCLED\DD1329.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File H:\Downloads\programme\2002-08\w2kdrv311-hauppauge tv.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File H:\Downloads\programme\2002-10\getrt45d.exe tagged as not-a-virus:AdWare.Gator. No Action Taken.

File H:\Downloads\programme\2003-03\SPLOT_3[1].20.18_German.zip tagged as not-a-virus:Cracker.Wicked. No Action Taken.

File H:\Downloads\programme\2004-06\setup_mp3tool_1.5.2.1.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Hier Der Log von Hijack

Logfile of HijackThis v1.98.2
Scan saved at 21:31:11, on 28.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINNT\system32\ctfmon.exe
C:\Programme\GMX Programme\GMX Internet Manager\GMX_Internet_Manager.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\abc\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEFAB768-F49A-4C0C-9E51-6E4644D36A00}: NameServer = 217.237.151.225 217.237.150.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBA8AEAD-7616-4187-9E31-31FA2673711A}: NameServer = 192.168.120.252,192.168.120.253

Was kann ich machen ???

Danke

Hauke
Seitenanfang Seitenende
28.10.2004, 21:40
Moderator

Beiträge: 7805
#100 Du kannst alle Meldungen oben ignorieren, bis auf das:


Innerhalb dieses Ordners bitte alles loeschen C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp oder es via www.clearprog.de machen lassen und in Software nach newdotnet oder dot.net suchen.

Spybot und Adawrae wuerde ich auch mal nutzen:
http://board.protecus.de/t9373.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.10.2004, 23:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#101 Hallo@Hauke.1

Oeffne das HijackThis:
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\ied_s7m.cab
<PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\webhancer.exe
<PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
C:\Dokumente und Einstellungen\abc\Lokale Einstellungen\Temp\nsr23.tmp\new_net.exe
<PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
D:\Programme\filesubmit\The Matrix Reloaded 3D Screensaver\nnezt388.exe
<PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
H:\Downloads\programme\2002-10\getrt45d.exe
<PC neustarten

Lade:
#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
<"I know what I'm doing"

bringe die <newdotnet3_88.dll<
von der linken auf die rechte Seite und loesche die dll.

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

Dann scanne noch mal mit eScan (not-a-virus:Tool.Win32.Reboot ist keine malware)
alles andere muesste verschwunden sein.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.10.2004 um 23:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
29.10.2004, 02:43
...neu hier

Beiträge: 6
#102 Hi Sabina

Ich habe via hijackthis (hjt) die sachen gefix die du gepostet hast. Dann im abgesicherten modus die adaware durchlaufen lassen und jetzt befinden sich da über 400 sachen unter quarantine...
Die Internetfiles lösche ich meistens immer am ende eines tages.
Komischerweise tauchen diese einträge nach jedem reboot im der log von highjackthis auf obwohl ich sie wie gesagt schon mehrmals gefixt habe:
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -
vielleicht kannst du mir erklären was das ist ?!
Kann man eigentlich den backup von hjt und die sachen die unter quarantine von adaware stehen löschen ?!
Hier die letzte log:
Logfile of HijackThis v1.98.2
Scan saved at 02:27:38, on 29.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\GHOSTS~2.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\Programme\PCI Audio Applications\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Dokumente und Einstellungen\.dreck\Eigene Dateien\hijackthis2\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Mixer.exe /startup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] D:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=110304 Ser*hier nicht!*=DR12CNC-8322248-NFT lang=DE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} -
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} -

gruß Spectre
Dieser Beitrag wurde am 29.10.2004 um 02:56 Uhr von Spectre editiert.
Seitenanfang Seitenende
29.10.2004, 10:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#103 Hallo@Spectre

#Ich hatte schon mal alle diese 016-Eintraege ueber "Google" ueberprueft...es sind keine boesen Eintraege.
Du kannst die Zahl in den Klammern mal bei Google eingeben und es selbst ueberpruefen.

#Ansonsten lasse die Eintraege von AdAware in Quarantaene .

#Extras -> Internetoptionen -> Erweitert -> Sicherheit -> Haken setzen bei Leeren des Ordners Temporary Internet Files beim Schließen des Browsers und Verschlüsselte Seiten nicht auf der Festplatte speichern.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/index.html
Opera
http://www.opera7.de/

#Datentraegerbereinigung:
und Loeschen der Temporary-Dateien
<Start<Ausfuehren<cleanmgr
Temporary Internet Files, O.K
Temporary Files, O.K

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 29.10.2004 um 10:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.10.2004, 11:31
...neu hier

Beiträge: 5
#104 Hi Sabina,

nachdem lange Zeit mein Rechner überhaupt nicht mehr funktioniert hat kann ich leider erst jetzt antworten. Irgendwie hab ich das Problem aber jetzt wieder im Griff, allerdings sind die Archivdateien immer noch "kaputt" lt. Antivir. Deshalb anbei ein Auszug aus dem Protokoll von Antivir:

C:\WINDOWS
WIN386.SWP
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\WINDOWS\OPTIONS\CABS
WIN_16.CAB
ArchiveType: CAB (Microsoft)
--> wexlxd60.dll
HINWEIS! Der Archivheader ist defekt
--> whlp16t.dll
HINWEIS! Der Archivheader ist defekt
--> whlp32t.dll
HINWEIS! Der Archivheader ist defekt
--> wiadefui.dll
HINWEIS! Der Archivheader ist defekt
--> wiadrvud.dll
HINWEIS! Der Archivheader ist defekt
--> wiadss.dll
HINWEIS! Der Archivheader ist defekt
--> wiascr.dll
HINWEIS! Der Archivheader ist defekt
--> wiaservc.dll
HINWEIS! Der Archivheader ist defekt
--> wiashext.dll
HINWEIS! Der Archivheader ist defekt
--> wiastatd.dll
HINWEIS! Der Archivheader ist defekt
--> wiavusd.dll
HINWEIS! Der Archivheader ist defekt
--> wildlb32.dll
HINWEIS! Der Archivheader ist defekt
--> win32s16.dll
HINWEIS! Der Archivheader ist defekt
--> win87em.dll
HINWEIS! Der Archivheader ist defekt
--> winalign.dll
HINWEIS! Der Archivheader ist defekt
--> winaspi.dll
HINWEIS! Der Archivheader ist defekt
--> wininet.dll
HINWEIS! Der Archivheader ist defekt
--> winmgmtr.dll
HINWEIS! Der Archivheader ist defekt
--> winmm.dll
HINWEIS! Der Archivheader ist defekt
--> winnet16.dll
HINWEIS! Der Archivheader ist defekt
--> wintrust.dll
HINWEIS! Der Archivheader ist defekt
--> wl32dll.dll
HINWEIS! Der Archivheader ist defekt
--> wldap32.dll
HINWEIS! Der Archivheader ist defekt
--> wmadmod.dll
HINWEIS! Der Archivheader ist defekt
--> wmadmoe.dll
HINWEIS! Der Archivheader ist defekt
--> wmasf.dll
HINWEIS! Der Archivheader ist defekt
--> wmdmlog.dll
...
es folgen die Archivdateien WIN_20 & 21 & 9.cab

Hast Du sowas schon einmal gesehen? Ist mein Windows kaputt?

Vielen Dank für Deine Hilfe im Voraus.
Gruß
Lion
Seitenanfang Seitenende
31.10.2004, 15:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#105 Hallo@Lion1979

#Fuer<wexlxd60.dll< habe ich gefunden, dass es zu einem TREIBER gehoert.
http://www.google.de/search?hl=de&ie=ISO-8859-1&q=wexlxd60.dll&btnG=Google-Suche&meta=

# <whlp16t.dll<whlp32t.dll< kannst du hier laden
http://www.ezgoal.com/channels/developer/c.asp?cid=197759&p=89&o=&s=&l=&t=&Developer+software

#<wiadefui.dll< Systemsteuerungsicone in den cpl Dateien.

usw.....

Ja, dein Windows und wahrscheinlich einige Treiber sind zerstoert.

Du solltest eine Reparatur von XP (?) versuchen oder neu formatieren.
Mit Viren hat dein Problem nichts zu tun.

<Reparatur:
http://www.computerhilfen.de/tipps-windows-xp-reparatur.php3
<Neuinstallation XP
http://8ung.at/chemikers-home/SETUP.html

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.10.2004 um 15:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: