"msbb.exe" HILFE!! werde es nicht mehr los.

#0
30.09.2004, 17:08
...neu hier

Beiträge: 5
#1 Hallo,
seit einigen Tagen taucht beimir dieser msbb.exe auf.
Weder mit AV Guard noch mit Adaware kann ich es los werden.
please help..!

hier schon vorab mein Hijacklog.

Logfile of HijackThis v1.98.2
Scan saved at 17:05:09, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
F:\SoftWare\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [farstone] NULL
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096297396921
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixelnet_de_bilduebertragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D0C59F-8662-4122-BDB7-D2A0A5183822}: NameServer = 192.168.1.1
Seitenanfang Seitenende
30.09.2004, 17:26
Member

Beiträge: 48
#2 Im Log taucht die .exe aber gar nicht auf. ;)

Versuche, Synchro-Ad und Gator unter Software zu deinstallieren.

Überprüfe:
C:\WINDOWS\System32\gakxcb.exe

hier: http://virusscan.jotti.dhs.org/

Ergebnis?

E-Scan herunterladen und updaten:

http://www.trojaner-info.de/hijacker/escan.shtml

Ab jetzt den IE NICHT mehr öffnen, Systemwiederherstellung deaktivieren:

http://www.bsi.de/av/texte/wiederher_xp.htm


Diese Prozesse per Taskmanager beenden:

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe


Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287
d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5
355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631

Boote in den abgesicherten Modus:

http://www.bsi.bund.de/av/texte/winsave.htm

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.
Seitenanfang Seitenende
30.09.2004, 19:31
...neu hier

Themenstarter

Beiträge: 5
#3 hi,

habe deinen anweisungen gefolgt;

Zitat

Versuche, Synchro-Ad und Gator unter Software zu deinstallieren.
- unter Software nicht vorhanden.

Zitat

Überprüfe:
C:\WINDOWS\System32\gakxcb.exe
- auch nicht vorhanden.

E-Scan herunterladen und updaten:

Zitat

- done



Diese Prozesse per Taskmanager beenden:

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe

Zitat

- done


Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken):


C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} -
C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL (file missing)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [beomkj] C:\WINDOWS\System32\gakxcb.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame
Dateien\GMT\GMT.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_file.php?bt=ie&p=64276fb9efc3565fee97b287
d3b2a64de55b67e90e1783d691843786455d914c50f6d13edd6d8d887becaac6a09aa805fc5
355c30eed521e15dd92da31dc:3c1049dbc81820f00dc048e710a78631

Zitat

- done


Boote in den abgesicherten Modus:

http://www.bsi.bund.de/av/texte/winsave.htm

lösche die in den Einträgen genannten Dateien, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge.

Zitat

- done


hier das neue logfile

Logfile of HijackThis v1.98.2
Scan saved at 19:23:30, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Executive Software\DiskeeperLite\DKService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Intel\Intel(R) Active Monitor\imonnt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
F:\SoftWare\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IMONTRAY] C:\Programme\Intel\Intel(R) Active Monitor\imontray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096297396921
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixelnet_de_bilduebertragung.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{34D0C59F-8662-4122-BDB7-D2A0A5183822}: NameServer = 192.168.1.1


e-scan;
Thu Sep 30 19:15:28 2004 => ***** Scanning complete. *****

Thu Sep 30 19:15:28 2004 => Total Number of Files Scanned: 70821
Thu Sep 30 19:15:28 2004 => Total Number of Virus(es) Found: 41
Thu Sep 30 19:15:28 2004 => Total Number of Disinfected Files: 0
Thu Sep 30 19:15:28 2004 => Total Number of Files Renamed: 34
Thu Sep 30 19:15:28 2004 => Total Number of Deleted Files: 7
Thu Sep 30 19:15:28 2004 => Total Number of Errors: 63
Thu Sep 30 19:15:28 2004 => Time Elapsed: 00:55:31
Thu Sep 30 19:15:28 2004 => Virus Database Date: 2004/09/29
Thu Sep 30 19:15:28 2004 => Virus Database Count: 104521

Thu Sep 30 19:15:28 2004 => Scan Completed.

so, jetzt bin ich gespannt ob es für immer verbannt ist..

Seitenanfang Seitenende
01.10.2004, 01:40
Member

Beiträge: 48
#4 Welche Schädlingen wurden denn von E-Scan genau gefunden?
Seitenanfang Seitenende
01.10.2004, 17:15
...neu hier

Themenstarter

Beiträge: 5
#5 hmm. das logfile von e-scan ist unedlich lang.

ich habe auch keine auflistung gefunden welche viren er auch jetzt gefunden hat, nur halt die anzahl.



hier einauszug;


Thu Sep 30 17:51:50 2004 => **********************************************************
Thu Sep 30 17:51:50 2004 => eScan AntiVirus Toolkit Utility.
Thu Sep 30 17:51:50 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Thu Sep 30 17:51:50 2004 => **********************************************************
Thu Sep 30 17:51:50 2004 => Version 4.4.7
Thu Sep 30 17:51:50 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log
Thu Sep 30 17:51:50 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35.
Thu Sep 30 17:51:51 2004 => AV Library Loaded...
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\Getvlist.exe
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssdi.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssi.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavvlg.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\msvlclnt.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\ipc.dll
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\main.avi
Thu Sep 30 17:51:51 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\virus.avi
Thu Sep 30 17:51:51 2004 => Virus Database Date: 2004/09/29
Thu Sep 30 17:51:51 2004 => Virus Database Count: 104521
Thu Sep 30 17:54:03 2004 => AV Library Unloaded (3)...
Thu Sep 30 17:54:13 2004 => **********************************************************
Thu Sep 30 17:54:13 2004 => eScan AntiVirus Toolkit Utility.
Thu Sep 30 17:54:13 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Thu Sep 30 17:54:13 2004 => **********************************************************
Thu Sep 30 17:54:13 2004 => Version 4.4.7
Thu Sep 30 17:54:13 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log
Thu Sep 30 17:54:13 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35.
Thu Sep 30 17:54:13 2004 => AV Library Loaded...
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\Getvlist.exe
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssdi.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavssi.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavvlg.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\msvlclnt.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\ipc.dll
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\main.avi
Thu Sep 30 17:54:13 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\virus.avi
Thu Sep 30 17:54:13 2004 => Virus Database Date: 2004/09/29
Thu Sep 30 17:54:13 2004 => Virus Database Count: 104521

Thu Sep 30 17:54:23 2004 => **********************************************************
Thu Sep 30 17:54:23 2004 => eScan AntiVirus Toolkit Utility.
Thu Sep 30 17:54:23 2004 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Thu Sep 30 17:54:23 2004 =>
Thu Sep 30 17:54:23 2004 => Support: support@mwti.net
Thu Sep 30 17:54:23 2004 => Web: http://www.mwti.net
Thu Sep 30 17:54:23 2004 => **********************************************************
Thu Sep 30 17:54:23 2004 => Version 4.4.7
Thu Sep 30 17:54:23 2004 => Log File: C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwav.log
Thu Sep 30 17:54:23 2004 => Latest Date of files inside MWAV: 29 Sep 2004 02:01:35.

Thu Sep 30 17:54:23 2004 => Options Selected by User:
Thu Sep 30 17:54:23 2004 => Memory Check: Enabled
Thu Sep 30 17:54:23 2004 => Registry Check: Enabled
Thu Sep 30 17:54:23 2004 => StartUp Folder Check: Enabled
Thu Sep 30 17:54:23 2004 => System Folder Check: Enabled
Thu Sep 30 17:54:23 2004 => System Area Check: Disabled
Thu Sep 30 17:54:23 2004 => Services Check: Enabled
Thu Sep 30 17:54:23 2004 => Drive Check: Disabled
Thu Sep 30 17:54:23 2004 => All Drive Check :Enabled
Thu Sep 30 17:54:23 2004 => Scanning Type: Scan And Clean
Thu Sep 30 17:54:23 2004 => Folder Check: Disabled

Thu Sep 30 17:54:23 2004 => ***** Scanning Memory Files *****
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\services.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\lsass.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\Ati2evxx.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\svchost.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\system32\spoolsv.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\Programme\AVPersonal\AVGUARD.EXE
Thu Sep 30 17:54:23 2004 => Scanning File C:\Programme\AVPersonal\AVWUPSRV.EXE
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\CTSvcCDA.EXE
Thu Sep 30 17:54:23 2004 => Scanning File C:\PROGRA~1\EXECUT~1\DISKEE~1\DKSERV~1.EXE
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\svchost.exe
Thu Sep 30 17:54:23 2004 => Scanning File C:\WINDOWS\System32\MsPMSPSv.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imonnt.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\system32\Ati2evxx.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\Explorer.EXE
Thu Sep 30 17:54:24 2004 => Scanning File C:\WINDOWS\System32\CTHELPER.EXE
Thu Sep 30 17:54:24 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imontray.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\Programme\QuickTime\qttask.exe
Thu Sep 30 17:54:24 2004 => Scanning File C:\PROGRA~2\WINDOW~1\SyncroAd.exe
Thu Sep 30 17:54:24 2004 => Process C:\Program Files\Windows SyncroAd\SyncroAd.exe Found running in Memory...
Thu Sep 30 17:54:24 2004 => *** Killing Infected Process C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:25 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:26 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:27 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:29 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:30 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:31 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:32 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:33 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:34 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:35 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\SyncroAd.exe...
Thu Sep 30 17:54:35 2004 => *** Unable to kill process :-( Virus still in memory!
Thu Sep 30 17:54:35 2004 => File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.

Thu Sep 30 17:54:35 2004 => Scanning File C:\WINDOWS\System32\ctfmon.exe
Thu Sep 30 17:54:35 2004 => Scanning File C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
Thu Sep 30 17:54:35 2004 => Scanning File C:\PROGRA~2\WINDOW~1\WinSync.exe
Thu Sep 30 17:54:35 2004 => Process C:\Program Files\Windows SyncroAd\WinSync.exe Found running in Memory...
Thu Sep 30 17:54:35 2004 => *** Killing Infected Process C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:36 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:38 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:39 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:40 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:41 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:42 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:43 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:44 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:45 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:46 2004 => *** Process still running!!! Trying again to kill C:\PROGRA~2\WINDOW~1\WinSync.exe...
Thu Sep 30 17:54:46 2004 => *** Unable to kill process :-( Virus still in memory!
Thu Sep 30 17:54:46 2004 => File C:\PROGRA~2\WINDOW~1\WinSync.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed.

Thu Sep 30 17:54:46 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\GMT\GMT.exe
Thu Sep 30 17:54:47 2004 => Scanning File F:\SoftWare\hijackthis_198\HijackThis.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\notepad.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\mwavscan.com
Thu Sep 30 17:54:47 2004 => Scanning File C:\DOKUME~1\ADNAN~1\LOKALE~1\Temp\kavss.exe

Thu Sep 30 17:54:47 2004 => ***** Scanning Registry Files *****

Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Thu Sep 30 17:54:47 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Thu Sep 30 17:54:47 2004 => *** File C:\WINDOWS\system32\SHELL32.dll having Size Restriction ***
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\SHELL32.dll [**]
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\webcheck.dll
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\stobject.dll

Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects
Thu Sep 30 17:54:47 2004 => {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} = C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
Thu Sep 30 17:54:47 2004 => ERROR!!! Invalid Entry = C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL. Removing it.
Thu Sep 30 17:54:47 2004 => {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} = C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~2\Adobe\ACROBA~1.0\Reader\ActiveX\ACROIE~1.OCX

Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\Explorer.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\userinit.exe

Thu Sep 30 17:54:47 2004 => Scanning HKCU\Control Panel\Desktop
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\logon.scr

Thu Sep 30 17:54:47 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\GEMEIN~1\Real\UPDATE~1\REALSC~1.EXE
Thu Sep 30 17:54:47 2004 => ERROR!!! Invalid Entry farstone = NULL. Removing it.
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\REGSVR32.EXE
Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\Creative\SBDRIV~1\SBDrvDet.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\UpdReg.EXE
Thu Sep 30 17:54:47 2004 => Scanning File C:\Programme\AVPersonal\AVGNT.EXE
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\system32\dumprep.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\Intel\INTEL(~1\imontray.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\PROGRA~1\ATITEC~1\ATICON~1\atiptaxx.exe
Thu Sep 30 17:54:47 2004 => Scanning File C:\WINDOWS\System32\PSDrvCheck.exe
Thu Sep 30 17:54:48 2004 => Scanning File C:\Programme\QuickTime\qttask.exe
Thu Sep 30 17:54:48 2004 => C:\PROGRA~2\WINDOW~1\SYNCRO~1.MWT File already Scanned once... not able to clean.
Thu Sep 30 17:54:48 2004 => Scanning File C:\PROGRA~2\WINDOW~1\SYNCRO~1.MWT [**]
Thu Sep 30 17:54:48 2004 => ERROR!!! Invalid Entry beomkj = C:\WINDOWS\System32\gakxcb.exe. Removing it.

Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Thu Sep 30 17:54:48 2004 => Scanning HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Thu Sep 30 17:54:48 2004 => Scanning File C:\WINDOWS\System32\ctfmon.exe
Thu Sep 30 17:54:48 2004 => Scanning File C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE

Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

Thu Sep 30 17:54:48 2004 => Scanning HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Thu Sep 30 17:54:48 2004 => Scanning HKCR\txtfile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\comfile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\exefile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\dllfile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\batfile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\piffile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\scrfile\shell\open\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\scrfile\shell\config\command

Thu Sep 30 17:54:48 2004 => Scanning HKCR\regfile\shell\open\command
Dieser Beitrag wurde am 01.10.2004 um 17:41 Uhr von lyon35 editiert.
Seitenanfang Seitenende
01.10.2004, 20:01
Member

Beiträge: 441
#6 @ lyon35

Dein Auszug aus der mwav.log ist belanglos!

Zitat

hmm. das logfile von e-scan ist unedlich lang.
Du resignierst vor der Länge des Logs, respekt.
Es kann doch nicht so schwer sein, das man sein Log durchsucht:

Öffne die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

So verfährst du mit allen 34 Files Renamed und 7 Deleted Files.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
01.10.2004, 23:27
...neu hier

Themenstarter

Beiträge: 5
#7 @cidre

ok hab mir die Zeit genommen, hier die Auswertung;


Files Renamed :
1x infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed
2x infected by "not-a-virus:AdvWare.Cydoor" Virus. Action Taken: File Renamed
1x infected by "not-a-virus:AdvWare.BargainBuddy.i" Virus. Action Taken: File Renamed
1x infected by "not-a-virus:AdvWare.Toolbar.MyWay.e" Virus. Action Taken: File Renamed
1x infected by "not-a-virus:AdvWare.Toolbar.MyWay.b" Virus. Action Taken: File Renamed
2x infected by "not-a-virus:AdvWare.Gator" Virus. Action Taken: File Renamed
1x infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed
4x infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: File Renamed
1x infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed
23x infected by "BkCln.Unknown" Virus. Action Taken: File Renamed

Deleted:
5x infected by "TrojanDownloader.JS.Weis.b" Virus. Action Taken: File Deleted
1x infected by "Trojan.Java.StartPage.g" Virus. Action Taken: File Deleted
1x infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: File Deleted


welche rückschlüssen kann man jetzt daraus ziehen..?
bin ich mein msbb.exe für immer los..? (taucht aufjedenfall seit 2 Tagen nicht mehr auf)
Dieser Beitrag wurde am 02.10.2004 um 12:59 Uhr von lyon35 editiert.
Seitenanfang Seitenende
05.10.2004, 20:43
...neu hier

Beiträge: 3
#8 Hi@all


Hab seit Sonntag nur sch... Spyware probs.
Habe das prog "web rebates mehrmals deinstalliert und alle Dateien wieder vom sys gelöscht. (aus den ordnern: temp, System32, windows, Programme-->Ordner "web_rebates"......)
mit Spybot S&D, Ad-Aware Pro gescannt, progs aus dem Speicher gelöscht.
Bis mir erst eingefallen ist, dass "SyncroAd.exe" Spyware ist, nun gut hab ich das auch noch deinstalliert und wieder gescannt.


Könnt ihr euch mal meinen log ansehen:

Logfile of HijackThis v1.98.2
Scan saved at 20:43:35, on 05.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\CpuIdle\cpuidle.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\GRANTU~1\LOKALE~1\Temp\Rar$EX14.500\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pagefirst.netfirms.com/od
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [AcctMgr] C:\Programme\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Meaya\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [WashAndGo - Cleanup of old Backupfiles] "C:\Programme\Purgatio Pro\checker.exe /check"
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Photo Express Calendar Checker SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\CalCheck.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093009920953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1494D19-5D79-4F1B-A525-AAB621642C52}: NameServer = 217.237.150.97 217.237.149.161
O17 - HKLM\System\CCS\Services\Tcpip\..\{A2AC5544-246F-4506-884D-CBC2329D863F}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{245100FA-1D96-4F33-AD48-DE51CE98F210}: NameServer = 192.168.120.252,192.168.120.253
Seitenanfang Seitenende
05.10.2004, 23:11
Member

Beiträge: 441
#9 @ Chris1983

Das Log-File sieht sauber aus.
Zur Sicherheit kannst du, wie hier beschrieben, eScan anwenden:
http://www.trojaner-board.de/showpost.php?p=76058&postcount=5

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Dieser Beitrag wurde am 05.10.2004 um 23:15 Uhr von Cidre editiert.
Seitenanfang Seitenende
07.10.2004, 11:56
...neu hier

Themenstarter

Beiträge: 5
#10 @cidre


Hallo,

ich habe eigentlich noch auf ein Kommentar von dir zu meiner Auswertung erwartet...???
Seitenanfang Seitenende
07.10.2004, 21:35
...neu hier

Beiträge: 3
#11 @Cidre

Dank dir für die Tipps.
Hab alle Punkte wie auf den Seiten beschrieben abgearbeitet.
Hab jedoch wieder zwei neue Probs..

1. Probl.
Unter C:\Program Files\ hab ich den Ordner "WindUpdates" gefunden. Darin befindet sich eine Datei namens "Comm.dll", sowie auch eine txt.-Datei, in der beschrieben steht, wie man "WindUpdates"-Software deinstalliert.
Darf die "Comm.dll" gelöscht, sowie der Ordner "WindUpdates" gelöscht werden??
Hab bisher nie in den Ordner reingekuckt, dachte er gehöre zum OS. Der Ordner befindet sich schon auf meinem System seitdem ich im August die Kiste plattgemacht habe und Windows XP neuinstalliert hab.
Scanne meinen Rechner immer mit Ad-Aware 6 Pro und Spybot S&D 1.3 -die Programme hatten nie etwas gefunden.

2. Probl.
Hab im Abgesicherten Modus escan laufen gelassen und er hat im Verzeichnis C:\RECYCLER\nprotect mehrere Viren gefunden.
Jedoch wenn ich windows im normalen Modus scanne, ist der Ordner "nprotect" nicht vorhanden und escan findet auch keine Viren.

M.b.G.

Chris
Seitenanfang Seitenende
07.10.2004, 23:35
Member

Beiträge: 441
#12 @ lyon35

Das dieser TrojanDownloader.Win32.Keenval.f etliche Adware nachgeladen hat.

Behebung und Vorbeugung dieses Problems für die Zukunft: ;)

Zitat

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org

__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
07.10.2004, 23:44
Member

Beiträge: 441
#13 @ Chris1983

Zu 1: Kompletten Ordner C:\Program Files\WindUpdates löschen.
Blazefind Adware
Verlasse dich nicht nur auf deine Sicherheitsprogramme. Mit dem Browserwechsel hast du den ersten Schritt zur Sicherheit vollzogen.

Zu2: Gehört zu Norton und ist der erweiterte Papierkorb, siehe http://www.frankn.com/html/nprotect_exe.php
Entweder im Norton Konfigurationsmenü leeren oder manuell löschen:
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Lesenswerte Lektüre:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
10.10.2004, 20:02
...neu hier

Beiträge: 3
#14 @Cidre

Dank dir vielmals.
Hab jetzt nochmals mit escan gescannt und er hat nichts mehr gefunden.

M.b.G.

Chris
Seitenanfang Seitenende