Search assistent-Entfernung nicht möglich.

#0
30.09.2004, 22:39
...neu hier

Beiträge: 10
#1 Hallo, Ich bekomme immer beim Starten von Internet-Explorer diesen lästigen Search Assistent auf meinen Bildschirm. Search 200 Startseite bin ich durch Hilfe von Sabrina endlich losgeworden, aber den Assistenten nicht (habe mich nicht mehr gemeldet, da meine Seite irgendwie plötzlich verschwunden ist?). Wer weiss Hilfe? Bedanke mich schon im vorraus: Dank
Hier mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 22:36:08, on 30.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.anvchxvfzfcuebnuvztvxsvhz.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0Tx1P8Q7jo1ZHMZjtEOurl4.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169
Seitenanfang Seitenende
01.10.2004, 10:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @Wildebene

Fixe:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.anvchxvfzfcuebnuvztvxsvhz.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0Tx1P8Q7jo1ZHMZjtEOurl4.html

neustarten

FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten

(falls dein Antivirus protestiert...keinen Schreck bekommen ! Ab in die Quarantene...es ist ein Bug, kein Virus)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 01.10.2004 um 10:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.10.2004, 18:24
...neu hier

Themenstarter

Beiträge: 10
#3 Sun 03 Oct 04 18:11:12
Hallo Sabina,
Vielen Dank für Deine Hilfe.
Bin nach deiner Anweisung vorgegenagen. Bin ich ihn jetzt schon los? Hier mein log: und Danke für Deine rasche Hilfe.


Sun 03 Oct 04 18:11:12

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 1 (Build 2600)
*IE version:
6.0.2800.1106 SP1-Q810847-Q837009-Q832894-Q831167-Q823353-Q867801



MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
18:11:12,21 03.10.2004
__________________________________

*Local time:
Sonntag, 03. Oktober 2004 (03.10.2004)
18:11, Westeuropäische Normalzeit
*Uptime:
18:11:13 up 0 days, 0:08:43

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)

User is a member of group DAISY\Kein.
User is a member of group \Jeder.
User is a member of group VORDEFINIERT\Administratoren.
User is a member of group VORDEFINIERT\Benutzer.
User is a member of group \LOKAL.
User is a member of group NT-AUTORITÄT\INTERAKTIV.
User is a member of group NT-AUTORITÄT\Authentifizierte Benutzer.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

User: [DAISY\Wildebene], is a member of:

VORDEFINIERT\Administratoren
\Everyone

Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS
Logon Domain is DAISY
Administrator's Name is Wildebene
Computer Name is DAISY
LOGON SERVER is \\DAISY

»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

No matches found.

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL


____________________________________________________________________________
*By size and date...


No matches found.

No matches found.

No matches found.

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

SNiF 1.34 statistics

Matching files : 0 Amount in bytes : 0
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...



No matches found.

No matches found.

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 450

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value Matches
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs =
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:


RegDACL 5.1 - Permissions Manager for Registry keys for Windows NT 4 and above
Copyright (c) 1999-2001 Frank Heyne Software (http://www.heysoft.de)
This program is Freeware, use it on your own risk!

Access Control List for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
(ID-NI) ALLOW Read VORDEFINIERT\Benutzer
(ID-IO) ALLOW Read VORDEFINIERT\Benutzer
(ID-NI) ALLOW Full access VORDEFINIERT\Administratoren
(ID-IO) ALLOW Full access VORDEFINIERT\Administratoren
(ID-NI) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access NT-AUTORITŽT\SYSTEM
(ID-IO) ALLOW Full access ERSTELLER-BESITZER

Effective permissions for Registry key hklm\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows:
Read VORDEFINIERT\Benutzer
Full access VORDEFINIERT\Administratoren
Full access NT-AUTORITŽT\SYSTEM



»»Performing string scan....
00001150: vk f AppInit_DLLs G
00001190: h vk UDeviceNotSelectedTimeout 1 5
000011D0: 0 9 0 =t vk ' zGDIProcessHandle
00001210:Quota" vk 8 Spooler2 y e s _ h
00001250: ` vk 5swapdisk vk
00001290: . TransmissionRetryTimeout h `
000012D0: vk ' N USERProcessHandleQuota x
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
fùAppInit_DLLsÖæG
--------------
--------------
$01180: AppInit_DLLs
$011AF: UDeviceNotSelectedTimeout
$011FF: zGDIProcessHandleQuota
$01298: TransmissionRetryTimeout
$012E8: USERProcessHandleQuota
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value exists and reports as 2 bytes, including the 2 for string termination.

[AppInitDLLs]
Ansi string : ""
0000 00 00 | ..
-----------------------

»»»»»»Backups list...»»»»»»
18:12:11 up 0 days, 0:09:41
-----------------------
Sun 03 Oct 04 18:12:11


C:\FINDNFIX\
keyback.hiv Sun 3 Oct 2004 18:11:14 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Sun 3 Oct 2004 18:11:14 A.... 287 0,28 K

1 item found: 1 file, 0 directories.
Total of file sizes: 287 bytes 0,28 K

*Temp backups...

"C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 3 Oct 2004 8192 "keyback2.hi_"
winkey2.re_ 3 Oct 2004 287 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.479 bytes 8,28 K
-D---- JUNKXXX 00000000 18:11.14 03/10/2004
A----- STARTIT .BAT 00000060 18:11.14 03/10/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Sun 03 Oct 04 18:12:12

Seitenanfang Seitenende
04.10.2004, 08:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @Wildebene

Nein, du bist die Malware noch nicht los.
Mache folgendes:
___________________________________________________________________
Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Das "eScan AV Toolkit" (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.

<Poste danach Virus Log Information: (aus Viewer abkopieren)
was als <deleted< und <renamed< und <no action taken< gefunden wurde :
[Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> Files Renamed oder Deleted Files eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.]

--««und das neue Log vom HijackThis noch mal posten. (stelle vorher unter <Internetoption< eine neue Startseite ein)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.10.2004 um 08:59 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.10.2004, 02:56
...neu hier

Beiträge: 1
#5 Hi ihr beiden !
Hatte genau daß gleiche problem habs gemacht im gesichicherten modus die vieren von hand gelöscht und siehe da wech isser !!!!!
Supergroßen dank Sabina hast mir viel geholfen hier war wol der schuldige dabei!!!
Tue Oct 05 02:03:02 2004 => Scanning File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Close Size Bind\bleh error.exe
Tue Oct 05 02:03:11 2004 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Support Close Size Bind\bleh error.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.

Tue Oct 05 02:04:21 2004 => File C:\Dokumente und Einstellungen\BlackDragon\Desktop\backups\backup-20041004-155556-600.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken

Tue Oct 05 02:05:19 2004 => Scanning File C:\Programme\clock support move\Safe four.exe
Tue Oct 05 02:05:19 2004 => File C:\Programme\clock support move\Safe four.exe infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

Tue Oct 05 02:08:40 2004 => Scanning File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\132D62E7
Tue Oct 05 02:08:40 2004 => File C:\Programme\Norton SystemWorks\Norton Antivirus\Quarantine\132D62E7 infected by "TrojanDownloader.WIn32.Swizzor.bt" Virus. Action Taken: No Action Taken.

Tue Oct 05 02:10:41 2004 => Scanning File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\First remote cdrom.exe
Tue Oct 05 02:10:41 2004 => File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\First remote cdrom.exe infected by "TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken.

Tue Oct 05 02:10:41 2004 => Scanning File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\yuhgaewv.exe
Tue Oct 05 02:10:41 2004 => File C:\RECYCLER\S-1-5-21-583907252-1592454029-725345543-1003\Dc19\yuhgaewv.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.

So daß warn alle ich hoffe daß ich helfen konnte und nochmal herrzlichen dank

euer MorpheusFrg!!!
Seitenanfang Seitenende
05.10.2004, 10:17
...neu hier

Themenstarter

Beiträge: 10
#6 Hallo Sabina
Bin nach deiner Anleitung vorgegangen. Hier mein Virus Log von mwav
Schaut glaub ich wild aus. Muß ich jetzt diese löschen?
Wie geht´s weiter?. Danke erstmals. Highjack log folgt zum Schluß (Searchassistent ist noch da)

Tue Oct 05 09:31:00 2004 => Total Files Renamed: 0
Tue Oct 05 09:31:00 2004 => Total Deleted Files: 0

Tue Oct 05 08:45:57 2004 => File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
Tue Oct 05 08:46:00 2004 => File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
 File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
 ile C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken
 File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98604577.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98625f11.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986266f5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98640242.exe infected by File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9865ab68.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken:
 "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken:
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867105b.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken:
 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867c199.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867e364.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f1fa.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f57f.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9868f137.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986ef7e4.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:03:52 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\987969b5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken. => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta10.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta11.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
 Tue Oct 05 09:11:17 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta34.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta4.exe infected by "TrojanDownloader.Win32.Swizzor.ax" Virus. Action Taken: No Action Taken.
 Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:11:18 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5D.exe infected by "TrojanDownloader.Win32.Swizzor.br" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG23.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

 Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG24.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

 Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG6.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

 Tue Oct 05 09:12:00 2004 => File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG7.exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.

 File C:\Lachen-ist-gesund\Spiele\Dartemup\dartsetup.exe tagged as not-a-virus:Tool.Win32.Reboot.
 No Action Taken.

 Tue Oct 05 09:12:40 2004 => File C:\Programme\AcidWebBody\dcorvjcx.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:40 2004 => File C:\Programme\AcidWebBody\gygfoytx.exe infected by "not-a-virus:AdvWare.ToolBar.TPSystem.a" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\hzrgkase.exe infected by "TrojanDownloader.Win32.Swizzor.bj" Virus. Action Taken: No Action Taken.
 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\nkaqmyln.exe infected by "TrojanDownloader.Win32.Swizzor.bj" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\ptwxkllc.exe infected by "TrojanDownloader.Win32.Swizzor.bn" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\Startslowrdr.exe infected by "TrojanDownloader.Win32.Swizzor.bm" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:41 2004 => File C:\Programme\AcidWebBody\xazpbyfz.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Take
 File C:\Programme\AVPersonal\INFECTED\BACKUP-20040818-124610-619.DLL.VIR infected by "TrojanDownloader.Win32.Agent.de" Virus. Action Taken: No Action Taken.
 Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV10.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.
 Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV15.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAV16.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\NAVF.TMP.VIR infected by "I-Worm.NetSky.q" Virus. Action Taken: No Action Taken.

 Tue Oct 05 09:12:58 2004 => File C:\Programme\AVPersonal\INFECTED\TMP8.TMP.VIR infected by "I-Worm.Mydoom.l" Virus. Action Taken: No Action Taken.
 File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
 File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
 File C:\WINDOWS\gmz-10061.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.


Logfile of HijackThis v1.97.7
Scan saved at 10:14:17, on 05.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dgnnuzzhvecfptdkomwsawx.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QDKgK6SZCZG3MZjtEOurl4.htm
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com" /s
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169
Seitenanfang Seitenende
05.10.2004, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Wildebene

Fixe mit dem HijackThis:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dgnnuzzhvecfptdkomwsawx.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QDKgK6SZCZG3MZjtEOurl4.htm
O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com" /s

neustarten

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K


#Leere die Odner (nicht die Ordner selbst loeschen
:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Suchfunktion Windows:

1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"

2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


Loesche manuell:

<c:\progra~1\acidwe~1\inside~1.exe
<C:\PROGRA~1\ACIDWE~1\InsideIso.exe
<C:\WINDOWS\gmz-10061.exe (Dialer)
<C:\PROGRA~1\ACIDWE~1\InsideIso.exe
<C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98604577.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98625f11.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986266f5.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\98640242.exe
C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9865ab68.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867105b.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867c199.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867e364.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f1fa.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9867f57f.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\9868f137.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\986ef7e4.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\987969b5.exe
 File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta10.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta11.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta34.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta4.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\sta5D.exe
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG23.exe (Dialer)
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG24.exe (Dialer)
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG6.exe (Dialer)
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\~YG7.exe (Dialer)
<C:\Programme\AcidWebBody\dcorvjcx.exe
<C:\Programme\AcidWebBody\gygfoytx.exe
<C:\Programme\AcidWebBody\hzrgkase.exe
<C:\Programme\AcidWebBody\InsideIso.exe
<C:\Programme\AcidWebBody\nkaqmyln.exe
<C:\Programme\AcidWebBody\ptwxkllc.exe
<C:\Programme\AcidWebBody\Startslowrdr.exe
<C:\Programme\AcidWebBody\xazpbyfz.exe
<C:\Programme\AVPersonal\INFECTED\BACKUP-20040818-124610-619.DLL.VIR
<C:\Programme\AVPersonal\INFECTED\NAV10.TMP.VIR
<C:\Programme\AVPersonal\INFECTED\NAV15.TMP.VIR
<C:\Programme\AVPersonal\INFECTED\NAV16.TMP.VIR <C:\Programme\AVPersonal\INFECTED\NAVF.TMP.VIR
<C:\Programme\AVPersonal\INFECTED\TMP8.TMP.VIR
<C:\WINDOWS\gmz-10061.exe (Dialer)
<C:\WINDOWS\gmz-10061.exe (Dialer)

#Deinstalliere den Antivirus und lade neu
Antivirus (free)
http://www.free-av.de/
Konfigurieren: "alle Dateien " und " Heuristik : mittel" im Scanner UND im Guard

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#TraXEx 2.2
ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt und durch jedermann, der Zutritt zu Ihrem Computer hat, ausgewertet werden können.
http://www.almisoft.de/traxex2.htm

#Dann scanne noch mal mit Escan und poste, was noch gefunden wurde, und auch das neue Log vom HijackThis.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 05.10.2004 um 12:19 Uhr von Sabina editiert.
Seitenanfang Seitenende
05.10.2004, 17:20
...neu hier

Themenstarter

Beiträge: 10
#8 Hallo Sabina. Danke für deine Antwort. Hat fast alles funktioniert.
Diese konnte ich nicht löschen. Kommt Meldung: "Wird verwendet, kann nicht gelöscht werden.":
<c:\progra~1\acidwe~1\inside~1.exe
<C:\PROGRA~1\ACIDWE~1\InsideIso.exe
C:\PROGRA~1\ACIDWE~1\InsideIso.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe

Nicht gefunden:
C:\Programme\AcidWebBody\InsideIso.exe
File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll
<C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll

Hier das escan log:


File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\Programme\AcidWebBody\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\Programme\AcidWebBody\apqzsehm.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: N
File C:\Lachen-ist-gesund\Spiele\Dartemup\dartsetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll infected by "TrojanDownloader.Win32.Swizzor.bo" Virus. Action Taken: No Action Taken
File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe infected by "Trojan.Win32.Krepper.ab" Virus. Action Taken: No Action Taken.
File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken:
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\PROGRA~1\ACIDWE~1\InsideIso.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File c:\progra~1\acidwe~1\inside~1.exe infected by "not-a-virus:AdvWare.Lop" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Hier Hijack log:Logfile of HijackThis v1.97.7
Scan saved at 17:16:43, on 05.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\DitExp.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rbvivozmkdqspkarjqcwcj.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0ToOnthO7ZS0mMZjtEOurl4.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169
Seitenanfang Seitenende
06.10.2004, 01:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo @Wildebene

Noch am das gleiche Spielchen...es muss doch ,moeglich sein, diese Startseite wegzubekommen :p

Fixe:
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://rbvivozmkdqspkarjqcwcj.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0ToOnthO7ZS0mMZjtEOurl4.html
O4 - HKLM\..\Run: [Show Site] C:\PROGRA~1\ACIDWE~1\InsideIso.exe

neustarten

#Lade die zip-Date i<xphidden< und oeffne sie,Doppelklick und "yes" zur Registry hinzufuegen, (so werden alle Dateien sichtbar)
http://www.davehigham.zen.co.uk/downloads/xphidden.zip

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Gehe in die Registry
Start<Ausfuehren<regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pnpsvc\Parameters\\ServiceDll
poste mal , welche dll sich dort befindet.

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Jetzt, wo das<ACIDWE< aus dem Autostart ist, muesstest du es deinstallieren koennen.
C:\PROGRA~1\ACIDWE~1\InsideIso.exe

#loesche\deinstalliere (am besten im abgesicherten Modus)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
C:\Programme\AcidWebBody\InsideIso.exe
C:\PROGRA~1\ACIDWE~1\InsideIso.exe
C:\Programme\AcidWebBody\apqzsehm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe
C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll
C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll

#Falls du es im abgesicherten Modus nicht manuell geloescht bekommst, nimm das HijackThis zur Hilfe.
Das geht so:

HijackThis< Config< Delete a file on reboot< datei <neustarten

Beispiel:
HijackThis< Config< Delete a file on reboot<InsideIso.exe < neustarten

Dann
#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*

und poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 06.10.2004 um 01:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
07.10.2004, 15:43
...neu hier

Themenstarter

Beiträge: 10
#10 Hallo Sabina,
Endlich gute Neuigkeiten. ;) Ich bin diesen Assistent losgeworden.
Dank deiner Hilfe.
Recht herzlichen Dank für deine rasche und uneigennützige Hilfe.
Leute wie dich braucht die Welt. Also nochmals Danke und ich hoffe daß ich deine Hilfe nicht mehr so schnell in Anspruch nehmen muß.
Habe das alles gelöscht (war diesmal mgl.) und siehe da er war weg.:
C:\Programme\AcidWebBody\InsideIso.exe
C:\PROGRA~1\ACIDWE~1\InsideIso.exe
C:\Programme\AcidWebBody\apqzsehm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\plan seek mess 2\Seek Bold.exe
C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040905-105425-874.dll
C:\Dokumente und Einstellungen\Wildebene\Lokale Einstellungen\Temp\backup-20040823-201156-753.dll


Hier noch mein Log:
Scan saved at 15:37:53, on 07.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\program files\altnet\points manager\points manager.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dmepgoxgbmkwbpsoa.com/qfHSol_sSwp9sDtQZvA7Go__AC8NKIeFoBgmueOKZ0QB/hNxjF_TwmMZjtEOurl4.asp
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169
Seitenanfang Seitenende
07.10.2004, 22:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@Wildebene

Es ist immer noch da. !!!!!!!!!!!!!!!!!!!

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.dmepgoxgbmkwbpsoa.com/.................................


Fixe den Eintrag bitte diesmal nicht. Sondern suche den dazugehoerigen Eintrag in der registry.
Poste, wie er heisst.

#Gehe in die Registry

Start<Ausfuehren<regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
Value Name: SearchAssistant
Data Type: REG_SZ (String Value)
Value Data: Search URL

Poste.welcher Eintrag dort ist und suche nach gleichen Eintraegen unter anderen Schluesseln .
_____________________________________________________________________

# lade :Spysweeper
http://www.spysweeper.com/

#ClaerProg (saeubere den Browser)
http://www.clearprog.de/
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies (mit Ausschlußmöglichkeit beim IE)
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

Spyware-Guard
#http://www.javacoolsoftware.com/sgdownload.html

#RegSupreme:
http://www.computerbase.de/downloads/software/systemprogramme/regsupreme/
RegSupreme
Die Sprache kann man im Programm unter Language auf deutsch problemlos umstellen, das Programm muss danach NICHT neu gestartet werden, die sprache wird sofort umgestellt.
Dieses Programm erstellt als erstes eine Sicherungsdatei eurer Registry, diese kann natürlich ne weile dauern. Wenn ihr aufgefordert werdet, einer Datei einen Namen zu vergeben, dann macht ihr das bitte. Nützlich und sinnvoll haben sich bezeichnungen wie: regback_jeweiliges datum u.ä. um die backup datei jederzeit wieder verwenden kann.

#Lade dieses Tool
Pestpatrol
http://www.securityinfo.ch/pestpatrol.html
(loescht nicht, aber zeigt die Malware an)
Poste es !

#Scanne noch mal mit Escan und poste, was noch angezeigt wird.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 07.10.2004 um 22:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
11.10.2004, 20:58
...neu hier

Themenstarter

Beiträge: 10
#12 Hallo Sabina,
In der registry habe ich folgenden Eintrag gefunden:
http://ie.search.msn.com/{SUB RFC1766}/srchasst/srchasst.htm

Pestpatrol hat einiges gefunden aber ich kann das weder rauskopieren oder sonstwas um es zu posten.

Escan hat noch dies gefunden:

=> File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.
File C:\Programme\AVPersonal\INFECTED\JOKE[1].COM.VIR infected by "I-Worm.Bagle.as" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-3964966158-1720698071-3506673259-500\Dc5.exe infected by "TrojanDownloader.Win32.Swizzor.bk" Virus. Action Taken: No Action Taken.
File D:\Driver\SIS_AGP_1.13\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken.

Kann ich infizierte und gefundene files eigentlich bedenkenlos löschen oder werden die noch irgendwo gebraucht?

Dieser Searchassisent scheint endlich verschwunden zu sein. Ladet sich auch nicht mehr auf den Bilschirm. Glaube wir haben es geschafft.

Hier noch Hijacklog und recht herzlichen Dank für Deine Hilfe. W.

Logfile of HijackThis v1.97.7
Scan saved at 20:50:25, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\kavss.exe
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\WILDEB~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tirol.at
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Global Startup: Image Transfer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O9 - Extra button: MedionShop (HKCU)
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094059384531
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38123.3033796296
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{795E4FB4-9D45-4A49-BE7E-B836FD55C8F8}: NameServer = 130.244.127.161 130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3A43391-679A-4F8C-8D72-1C49F93507E6}: NameServer = 130.244.127.161,130.244.127.169
O17 - HKLM\System\CCS\Services\Tcpip\..\{F33CFC9C-6279-4480-920B-520BA5889C02}: NameServer = 130.244.127.161,130.244.127.169
Seitenanfang Seitenende
12.10.2004, 00:33
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo @Wildebene

Loesche manuell:
C:\RECYCLER\S-1-5-21-3964966158-1720698071-3506673259-500\Dc5.exe
C:\Programme\AVPersonal\INFECTED\JOKE[1].COM.VIR

Lade dieses Tool (stelle deine persoenliche Startseite ein)
http://www.pjwalczak.com/spguard/

Poste mal wenigstens die Namen der Spyware, die Pestpatrol anzeigt.

Das Log ist sauber ;)
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 12.10.2004 um 00:35 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.10.2004, 21:21
...neu hier

Themenstarter

Beiträge: 10
#14 Hallo Sabina
Hier die namen der Spyware von Pestpatrol:

Twain-Tech
PKaZaA
2P Networking
TopSearch
TOPicks
BearShare
WindowsMedia
TradeDoubler.com
Servedby.Advertising.com
Mediaplex.com
HitBox.com
DoubleClick
Atwola
As1.falkag.de
Advertising.com
AdBureau

Was mach ich mit diesem Tool?:
http://www.pjwalczak.com/spguard/

Mein Englich ist nicht so super.
Brauch ich das? Welche Startseite ist hier gemeint, IE-Explorer? Gibts das auch in Deutsch?
Danke W.
Seitenanfang Seitenende
13.10.2004, 10:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo @Wildebene

Gib diese Eintraege in die Suchfunktion der Registry ein (oben links in der Registry) und loesche rechts in der Registry alle Eintraege, die du findest:

Start<Ausfuehren<regedit:

Twain-Tech
PKaZaA
2P Networking
TopSearch
TOPicks
BearShare
WindowsMedia
TradeDoubler
Servedby
Mediaplex
HitBox
DoubleClick
Atwola
As1.falkag
Advertising
AdBureau

#Dann mache das gleiche mit der Suchfunktion von Windows:
<Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

<Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen
________________________________________________________________________

#Dann lasse das Tool, was ich gepostet habe und lade das: (ist ein Ueberwachungstool..hake ALLE Eintraege an )..protected
#Spywareblaster
http://www.javacoolsoftware.com/sbdownload.html
#NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

#Internetexplorer reinigen:
1. Klicken Sie in der Menüzeile des Internet Explorers auf Extras und Internet-Optionen.
2. Auf der Registerkarte Allgemein klicken Sie im Bereich Temporäre Internetdateien auf den Button Cookies löschen.
3.Temporaere Internet-Dateien<Dateien loeschen

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 13.10.2004 um 10:31 Uhr von Sabina editiert.
Seitenanfang Seitenende