Home » Viren, Trojaner & Malware Forum » Virus und trojaner warnung nach neuinstallation » Themenansicht

Virus und trojaner warnung nach neuinstallation
#0
02.10.2004, 08:46
Z00M
...neu hier

Beiträge: 9
#1 hi,hoffe ihr könnt mir helfen.
seit ich win2k neuinstalliert hat bekomme ich folgenede meldungen:
virusscanner:
TR/Dldr.Small.Qd.3

Trjanerscanner:
An Alarm has gone off on the following monitored item. This means the data within the item has changed. What would you like do??
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
&
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices

hab mal den stinger drüberlaufen lassen,der findet einige würmer und löscht sie dann, aber irgendwie sind die dann nach nem neustart wieder drauf.

MFG
Seitenanfang Seitenende
02.10.2004, 09:03
joschi
Moderator
Avatar joschi

Beiträge: 6466
#2 Leider völlig unzureichende Informationen:

- Welches Service-Pack ?
- Welche Version hat der IE ?
- Welcher Virenscanner zeigt Dir die Info "TR/Dldr.Small.Qd.3" oder kommt diese Meldung einfach als Windows-Popup ?

Am besten ein HijackThis-Log posten, das beantwortet einiges.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.10.2004, 10:53
Z00M
...neu hier

Themenstarter

Beiträge: 9
#3 hi,
hab serviece-pack 4
ie 6.0. +sp1
AvGuard zeigt mir diese "TR/Dldr.Small.Qd.3" info an

und

TheCleaner zeigt

HKCU/Software/Microsoft/Windows/CurrentVersion/Run
&
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices

an

öhm,was ist ein HijackThis-Log und wie mach ich sowas??

MFG
Z00M
Seitenanfang Seitenende
02.10.2004, 12:29
joschi
Moderator
Avatar joschi

Beiträge: 6466
#4 So poste ich ein Hijack-Log. Bitte das komplette Log hier posten.
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
02.10.2004, 19:18
Z00M
...neu hier

Themenstarter

Beiträge: 9
#5 Logfile of HijackThis v1.98.2
Scan saved at 19:16:06, on 02.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
e:\Programme\AVPersonal\AVGUARD.EXE
e:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
E:\Programme\The Cleaner\tca.exe
E:\Programme\The Cleaner\tcm.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINNT\system32\cnstat.exe
E:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\WMP23.exe
C:\WINNT\system32\mntcgf032.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
e:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
E:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [tcactive] e:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] e:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe
O4 - HKLM\..\Run: [AVGCtrl] "e:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [Windows Media Player] WMP23.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Windows Media Player] WMP23.exe
O4 - HKCU\..\Run: [System Failure Statistic] cnstat.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - Global Startup: Reboot.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{28AD508C-9DD0-4366-8D9E-7500EB6468A1}: NameServer = 217.237.150.97 217.237.149.161

hmm,hoffe ihr werdet daraus schlau
Seitenanfang Seitenende
03.10.2004, 11:54
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @Z00M

Dein System ist voellig verseucht ......

Scanne noch mal mit dem HijackThis, dann hake an, was ich schreibe und <fix< , dann sofort neustarten:

O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\Run: [System Failure Statistic] cnstat.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\Run: [Start Upping] svchostes.exe
O4 - HKLM\..\Run: [Windows Media Player] WMP23.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [System Failure Statistic] cnstat.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] mntcgf032.exe
O4 - HKLM\..\RunServices: [Start Upping] svchostes.exe
O4 - HKLM\..\RunServices: [Windows Media Player] WMP23.exe
O4 - HKCU\..\Run: [System Failure Statistic] cnstat.exe
O4 - HKCU\..\Run: [Microsoft WinUpdate] mntcgf032.exe

neustarten


#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

#Stinger
http://vil.nai.com/vil/stinger/

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.

<gehe in den abgesicherten Modus
(F8 druecken, wenn der PC hochfaehrt und dann "abgesicherter Modus waehlen"
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives

folgende Haken :
[x] Memory
[x] Registry
[x] Startup Folders
[x] System Folders
[x] Services
[x] Drive
(x) All Local Drives
[x] Folder [C:\WINDOWS]
[x] Include SubDirectory

<und "Scan clean" klicken.

<Gehe wieder in den Normalmodus und scanne noch mal.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'

1.Aendere eventuell vorhandene nicht verschluesselte Passworte
2.Lade den Browser <Firefox< und surfe nur mit ihm
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
3. Ueberpruefe, welche Dienste du aus Sicherheitsgruenden deaktivieren kannst
http://www.ntsvcfg.de/ oder www.dingens.org

4. Deinstalliere Antivirus (ist zerstoert) und lade neu.
Dann konfiguriere im Scanner UND im Guard: "alle Dateien" und "Hueristik: mittel"
#Antivirus (free)
http://www.free-av.de/

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 03.10.2004 um 12:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
03.10.2004, 22:52
Z00M
...neu hier

Themenstarter

Beiträge: 9
#7 huhu und danke für die hilfe das ist der neue log:

Logfile of HijackThis v1.98.2
Scan saved at 22:48:49, on 03.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINNT\Explorer.EXE
E:\Programme\SpeedFan\speedfan.exe
E:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
e:\Programme\AVPersonal\AVWUPSRV.EXE
e:\Programme\AVPersonal\AVGUARD.EXE
e:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\blup\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe
O4 - Global Startup: Reboot.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
Seitenanfang Seitenende
04.10.2004, 10:31
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo @Z00M

Das Log ist sauber :p

Deaktiviere jetzt noch die Wiederherstellung, danach kannst du sie wieder aktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924
Windows Me

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 04.10.2004 um 10:31 Uhr von Sabina editiert.
Seitenanfang Seitenende
04.10.2004, 14:35
Z00M
...neu hier

Themenstarter

Beiträge: 9
#9 puh,danke für eure hilfe,ist echt ein super board, werde ich aufjedenfall weiterempfehlen

MFG
Z00M
Seitenanfang Seitenende
15.12.2004, 20:47
Z00M
...neu hier

Themenstarter

Beiträge: 9
#10 huhu ihr,hab mal wieder viren probs. ;)
und zwar öffnet IE nicht sehr schöne seiten obwohl ich firefox benutze

OS: winxp

und hier mal die log, hoffe ihr könnt mir wieder helfen ;)

Logfile of HijackThis v1.98.2
Scan saved at 20:37:41, on 15.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\taksmgr.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\The Cleaner\tca.exe
D:\Programme\The Cleaner\tcm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\explorer.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
d:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
c:\sasadaa.exe
c:\sasadaa.exe
c:\sasadaa.exe
D:\Programme\ICQ\Icq.exe
D:\Programme\firefox\firefox.exe
D:\hjack\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Start Upping] taksmgr.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzvs32.exe
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [tcactive] d:\Programme\The Cleaner\tca.exe
O4 - HKLM\..\Run: [tcmonitor] d:\Programme\The Cleaner\tcm.exe
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Start Upping] taksmgr.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C1D72C1-877A-49C5-B21B-AC07D472E6FD}: NameServer = 217.237.150.97 217.237.149.161
Seitenanfang Seitenende
15.12.2004, 23:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Das hast du SELBST geladen...Kamel :p

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Fixe:

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O2 - BHO: BHO Class - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\ELITES~1\ELITES~1.DLL
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
O4 - HKLM\..\Run: [Start Upping] taksmgr.exe
O4 - HKLM\..\Run: [kalvsys] C:\windows\system32\kalvzvs32.exe
O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe
O4 - HKCU\..\Run: [Start Upping] taksmgr.exe

neustarten..in den abgesicherten Modus !!!!

KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
http://www.bleepingcomputer.com/files/killbox.php

C:\WINDOWS\EliteToolBar\EliteToolBar version 58.dll
C:\windows\system32\kalvzvs32.exe
c:\sasadaa.exe
C:\WINDOWS\System32\taksmgr.exe

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#eScan-Erkennungstool
http://www.rokop-security.de/board/index.php?showtopic=3867

#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 15.12.2004 um 23:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.12.2004, 13:47
Z00M
...neu hier

Themenstarter

Beiträge: 9
#12

Zitat

Sabina postete
Das hast du SELBST geladen...Kamel :p

Zitat

hmm,wie soll ich das verstehen?? wie soll ich es selber geladen haben???

neues log:

Logfile of HijackThis v1.98.2
Scan saved at 13:44:41, on 16.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\hjack\HijackThis.exe
d:\Programme\AVPersonal\AVGUARD.EXE
d:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
d:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\PROGRAMME\FIREFOX\FIREFOX.EXE

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "d:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe

wie es aussieht hast du es wieder geschafft meinen pc sauber zu bekommen ;)

edit: hmm,mit dem zitieren ist wohl zu hoch für mich *g*
Dieser Beitrag wurde am 16.12.2004 um 13:49 Uhr von Z00M editiert.
Seitenanfang Seitenende
16.12.2004, 14:16
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Nun die Backdoors waren drauf...ja wieso ???? -->Netzwerkfreigabe
C:\WINDOWS\EliteToolBar\EliteToolBar hast du selbst geladen.

Gehe in die Registry
Start<Ausfuhren<regedit

loesche jeweils rechts in der Registry:

HKEY_CLASSES_ROOT\CLSID\{02C20140-76F8-4763-83D5-B660107BABCD}

HKEY_CLASSES_ROOT\CLSID\{0A1D22C3-37BE-470C-9C29-E3074EE0574B
HKEY_CLASSES_ROOT\CLSID\{BE8D0059-D24D-4919-B76F-99F4A2203647}
HKEY_CLASSES_ROOT\CLSID\{A74CD7DD-EA6F-11D4-ABF3-000102378429}
HKEY_CLASSES_ROOT\CLSID\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}
HKEY_CLASSES_ROOT\CGBand.BHO
HKEY_CLASSES_ROOT\CGBand.BHO.1
HKEY_CLASSES_ROOT\CGBand.UICGBandObj
HKEY_CLASSES_ROOT\CGBand.UICGBandObj.1
HKEY_CLASSES_ROOT\CGBand.CGBandObj
HKEY_CLASSES_ROOT\CGBand.CGBandObj.1
HKEY_CLASSES_ROOT\PLOT.PlotCtrl.1
HKEY_CLASSES_ROOT\Interface\{276B0903-EB4B-46FF-8304-F093DEF69DE7}
HKEY_CLASSES_ROOT\Interface\{4AFF987A-773B-48E4-AEE8-08EBDDBDADF8}
HKEY_CLASSES_ROOT\Interface\{CAAB3B3F-E815-47D9-94FD-8BB9143C0077}
HKEY_CLASSES_ROOT\Interface\{ED646219-20BF-41E5-80FD-EE49021DA599}
HKEY_CLASSES_ROOT\TypeLib\{8AA59E15-6E81-415C-B299-1ADFB50C8E1A}
HKEY_LOCAL_MACHINE\Software\Elitum
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ED103D9F-3070-4580-AB1E-E5C179C1AE41}

NEUSTARTEN

suche/loesche:
C:\WINDOWS\EliteToolBar\

#C:\WINDOWS\EliteToolBar\EliteToolBar 58.dll

#Alternativbrowser zum IE
Firefox
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html

______________________________________________________________

Info:

W32/Rbot-QK

O4 - HKLM\..\RunServices: [Start Upping] taksmgr.exe

Verbreitungsweise

* Netzwerkfreigabe

W32/Rbot-QK ist ein Netzwerkwurm, der versucht, sich auf Netzwerkfreigaben zu verbreiten. Der Wurm verfügt über Backdoor-Funktionen, die unbefugten Fernzugriff auf den infizierten Computer mittels IRC-Kanälen ermöglichen.

Der Wurm verbreitet sich auf Netzwerkfreigaben mit einfachen Kennwörtern und entweder über die LSASS-Sicherheitslücke (MS04-011) oder die RPC-DCOM-Sicherheitslücke (MS04-012).

Wenn er gestartet wird, verschiebt sich W32/Rbot-QK als Datei namens taksmgr.exe mit den Attributen "Lesen", "Versteckt" und "System" in den Windows-Systemordner. Der Wurm erstellt dann die folgenden Registrierungseinträge, so dass er entweder bei der Benutzeranmeldung oder beim Computerneustart aktiviert wird:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Start Upping
taksmgr.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Start Upping
taksmgr.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Start Upping
taksmgr.exe

Sobald er installiert ist, versucht W32/Rbot-QK, einen SOCKS4-Proxyserver einzurichten, Dateien aus dem Internet herunterzuladen und zu starten, sich an MS SQL-Servern anzumelden und EXEC-Befehle zu senden, um eine Command-Shell auf dem Server zu öffnen, an Distributed-Denial-of-Service-Attacken teilzunehmen, Tastenfolgen zu speichern und CD-Schlüssel zu stehlen, wenn er entsprechend von einem remoten Anwender angewiesen wird.
http://www.sophos.de/virusinfo/analyses/w32rbotqk.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.12.2004 um 14:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.12.2004, 15:50
Z00M
...neu hier

Themenstarter

Beiträge: 9
#14 oki,freiwillig hab ichs aber nicht geladen ;)

danke für deine super hilfe wiedermal ;)
Seitenanfang Seitenende
10.02.2005, 16:21
Z00M
...neu hier

Themenstarter

Beiträge: 9
#15 ich bins mal wieder und hab wieder das gleiche prob. nach neuinstallation -----------------------------------------------------
Logfile of HijackThis v1.99.0
Scan saved at 16:16:49, on 10.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
e:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
E:\Programme\Speed Disk\nopdb.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
E:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
e:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
E:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\UPDATE.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\rspc.exe
C:\WINNT\system32\USBhardware32c.exe
e:\Programme\AVPersonal\AVWUPSRV.EXE
e:\Programme\AVPersonal\AVGUARD.EXE
e:\Programme\AVPersonal\AVGNT.EXE
E:\Programme\firefox\firefox.exe
D:\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ToADiMon.exe] e:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [RSPC Driver] rspc.exe
O4 - HKLM\..\Run: [AVGCtrl] "e:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [RSPC Driver] rspc.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{26F0B166-DC55-4F29-AC79-3D8677077CA6}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - e:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - e:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Norton Unerase Protection - Symantec Corporation - e:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: Speed Disk service - Symantec Corporation - E:\Programme\Speed Disk\nopdb.exe

---------------------------------------------------

hoffe ich nerve nicht langsam *g* aber bekomm es nicht weg.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12