Üble Malware hat sich festgesetzt |
||
---|---|---|
#0
| ||
07.10.2004, 20:07
...neu hier
Beiträge: 8 |
||
|
||
08.10.2004, 00:23
Member
Beiträge: 441 |
#2
Hallo,
lass mal eScan im abgesicherten Modus scannen. lösche die infizierten Dateien manuell und poste danach die Virus Log Information. Zitat 7 verschiedene scchost.exe laufenDiese Datei wird von vielen Backdoor Trojaner benutzt, die alle sehr gefährlich sind! http://www.google.de/search?q=scchost.exe&hl=de&lr=lang_de&start=10&sa=N __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
08.10.2004, 00:35
Member
Beiträge: 40 |
#3
hi
hast du mit version 1.98.2 den hjt scan versucht? sollte dies der fall sein, bitte einen versuch mit der 1.97.7 habs gesehen, es war die 1.98.0 --> aktuell ist 1.98.2 __________ lg Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links Dieser Beitrag wurde am 08.10.2004 um 00:37 Uhr von Speedyweb editiert.
|
|
|
||
08.10.2004, 10:18
...neu hier
Themenstarter Beiträge: 8 |
#4
also wenn mein Komputer jez nicht gesäubert ist, muss diese malware wirklich übel sein.
Hab jetzt den ganzen PC durchgecheckt, mehrmals. unter anderem mit: SpyBot, Ad-Aware, HijackThis 1.97.7 und mit eScan. bei HijackThis hab ich ein paar dateien schon gelöscht, bei denen sowieso klar war dass sie nicht hier her gehören. Ad-Aware hat auch noch einiges gefunden nachdem ich Spybot schon über meine PC laufen liess. beide Progrämmchen haben einige Dateien gelöscht. ganz am schluss hat eScan aber trotzdem nochmal 28 Elemente unbenannt oder gelöscht. hier ist mal das logfile von HijackThis ------------------------------------------------------------------------------- Logfile of HijackThis v1.97.7 Scan saved at 19:41:24, on 08.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\loading.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\devldr32.exe C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Internet\Browser\Firefox\firefox-0.9.3-win32-deDE\firefox\firefox.exe C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1977.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://drusearch.com/user6/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_h.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\_h.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = C:\WINDOWS\_s.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = C:\WINDOWS\_h.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\_h.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\WINDOWS\_h.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:NavigationFailure R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = C:\WINDOWS\_h.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = C:\WINDOWS\_s.html O2 - BHO: (no name) - {52C86756-903F-4A58-80DC-9D4FA6B89481} - C:\WINDOWS\System32\koaoaa.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {F9631037-FCB2-4F76-A6D0-8B3A8764F75A} - C:\WINDOWS\System32\Q5350468.dll O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [Windows Security Assistant] C:\WINDOWS\system32\rundll32.vbe O4 - HKLM\..\Run: [Windows Shell Library Loader] loading shell32.dll /c /set O4 - HKLM\..\Run: [win32.exe] C:\WINDOWS\win32.exe O4 - HKLM\..\Run: [Zone system] C:\WINDOWS\szchost.exe O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mhtml!http://81.9.3.86//scripts//dw//chm.chm?id=vad::/win.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=4532735100030c99da9ee18274076591321e8833f80ab91636fd51037d3ffa27b48b2691f3b04343f15db41e9440fa97f25e05813280d97d:b0cf57d56ddd1008b8819d33c3794247 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097004820007 O19 - User stylesheet: C:\WINDOWS\win32.bmp ---------------------------------------------------------------------------- und vom eScan hab ich auch noch ein Logfile. jedoch nicht das ganze, dass käme nämlich der Atomaren Sprenung dieses Posts bei, wurden doch über 61000 Dateien gescannt. darum habe ich einfach den Virenlog in eine Textdatei kopiert. und hier wär der besagte Log: ---------------------------------------------------------------------------- File C:\WINDOWS\win32.exe infected by "Trojan.Win32.StartPage.gh" Virus. Action Taken: File Deleted. File C:\WINDOWS\hrtcm.exe infected by "Trojan.Win32.StartPage.jl" Virus. Action Taken: File Deleted. File C:\WINDOWS\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed. File C:\WINDOWS\System32\fcgobaaa.tmp infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. File C:\WINDOWS\System32\OutLook.exe infected by "Trojan.PSW.Delf.eb" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Media\KaZaA\PerfectNavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted. File C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Ripper\CD Ripper\Easy CD Ripper\ezcdr_inst.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\THI4657.tmp\preInsln.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2TSLG3I1\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2TSLG3I1\online[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MZGFKNMX\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1Q9OBKJ\counter[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed. File C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W1Q9OBKJ\online[1].chm infected by "Exploit.CodeBaseExec" Virus. Action Taken: File Renamed. File C:\Program Files\Internet Optimizer\optimize.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\Programme\Windows Media Player\wmplayer.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005220.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005221.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005389.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP25\A0005406.DLL infected by "TrojanDownloader.Win32.FunWeb.a" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006265.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006268.dll infected by "TrojanDownloader.Win32.IstBar.dh" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP42\A0006269.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0008379.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0008384.exe infected by "TrojanDownloader.Win32.IstBar.gen" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009428.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009491.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009492.dll infected by "not-a-virus:AdvWare.BiSpy.n" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0009493.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011507.dll infected by "Trojan.Win32.StartPage.ix" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011509.exe infected by "Trojan.Win32.StartPage.gh" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011510.exe infected by "Trojan.Win32.StartPage.jl" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011511.exe infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011512.exe infected by "Trojan.PSW.Delf.eb" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011513.exe infected by "TrojanDownloader.Win32.Keenval.e" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011514.exe infected by "not-a-virus:AdvWare.MetaDirect.b" Virus. Action Taken: File Renamed. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011515.exe infected by "TrojanDownloader.Win32.Dyfuca.da" Virus. Action Taken: File Deleted. File C:\System Volume Information\_restore{5CE85865-2F8F-479A-995D-FC2E53B2DF5A}\RP45\A0011516.exe infected by "Trojan.Win32.StartPage.eg" Virus. Action Taken: File Deleted. File C:\WINDOWS\Downloaded Program Files\ad.exe infected by "TrojanDownloader.Win32.Donn.ab" Virus. Action Taken: File Deleted. ---------------------------------------------------------------------------- so, jetzt brauche ich noch eure Hilfe beim Analysieren dieser beiden Dateien. Also beim Logfile von eScan ist's klar. da ist ja schon alles gelöscht oder umbenannt oder was auch immer. allerdings vermute ich im Logfile von HijackThis noch das eine oder andere nicht benutzerfreundliche progrämmche. könnte mir da vielleicht jemand helfen diese zu finden. Habe jez auch mal in der Registry rumgeforscht. dort habe ich mal alles verdächtige gelöscht (und der PC läuft noch unter anderem alles in dem Richfind steht oder irgendetwas mit einer Toolbar zu tun hat und dann auch noch alle Einträge unter HKEY_LOKAL_MACHINE>Software>Microsoft>Windows>Current Version>Internet Settings>Zone Map>Domains Aber ich habe festgestellt, dass wenn ich den IE starte, erstellt Richfind eine Zeichenfolge unter HKEY_LOKAL_MACHINE>Software>Microsoft>Internet Explorer>Search Wenn ich den wert lösche, wird er einfach neu eingetragen wen ich den IE das nächste mal starte. Würde es etwas bringen den PC neu aufzusetzten? würde Richfind dann nicht immernoch eindringen? in diesem sinne. schönes wochenende und danke schon im voraus. moelbi PS. Richfind ist ja die Toolbar die sich bei mir im Internet Explorer und im Explorer festgesetzt hat, ausserdem ändert Richfind andauernd meine Startseite Dieser Beitrag wurde am 09.10.2004 um 13:30 Uhr von moelbi editiert.
|
|
|
||
09.10.2004, 20:19
Ehrenmitglied
Beiträge: 29434 |
#5
Hallo @moelbi
Ist das Log vom HijackThis vor oder nach der Anwendung von escan gemacht ??? Auf jeden Fall ist dein PC voellig verseucht...Wenn ich posten wuerde, was du alles fixen musst, waeren es fast alle Eintraege.... ____________________________________________________________________________ Neuinstallation XP http://8ung.at/chemikers-home/SETUP.html 1.) Neu formatieren und installieren 2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen 3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren http://www.dirks-computerecke.de/windows-xp-firewall.htm 4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org 5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren 6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen Alternativ/Mail zum Outlook http://www.alles-und-umsonst.de/kostenlos/email.html Thunderbird Mail http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe #Alternativbrowser zum IE Firefox http://www.mozilla.org/products/firefox/index.html Opera http://www.opera7.de/ 7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X) 8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vroher überprüfen, ob sie Spaware oder Adware enthalten 9) ein Antivirenprogramm (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen http://www.free-av.de/ 10) alle Passworte aendern 11) Die xp-Firewall deaktivieren und (zum Beispiel) laden: <Kerio Personal Firewall Kerio ist freeware für den privaten Gebrauch. http://www.kerio.com/kpf_download.html <Deutsches Handbuch Tiny Personal/Kerio Firewall 2.x Handbuch von Firewall-Info.net für die Version 2 von Kerio (vormals Tiny Personal). http://www.firewallinfo.de/handbuecher/tiny_kerio_20/ 12)<PC-Selbsttest http://check.lfd.niedersachsen.de/start.php 13)TCPView 2.34 http://www.sysinternals.com/ntw2k/source/tcpview.shtml as bietet gleich mehrere Vorteile: Zum einen kann man unbekannte Trojaner ermitteln und zudem auch sofort erkennen, welche Programme eine Verbindung ins Internet aufbauen. TCPView zeigt alle TCP- und UDP-Endpunkte in einer Liste an und liefert dazu die Remote-Adresse. Über [Strg]+[-R] schaltet TCPView zwischen den Namen und der dazugehörigen IP-Adresse um. Die Bildschirmanzeige aktualisiert man über die Taste [F5]. (mrupp/tri) 13)#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows. TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt http://www.almisoft.de/traxex2.htm mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 09.10.2004 um 20:24 Uhr von Sabina editiert.
|
|
|
||
09.10.2004, 20:32
Member
Beiträge: 40 |
#6
hi
ist das ein spiel pc oder werden hier auch wertvolle persönliche daten verwaltet wenn ersteres kannst du ein wenig fixen (eben spielen), aber wenn z.B. onlinebanking --> format:C und der sehr ausführlichen und sehr gut beschriebenen anleitung von Sabina folgen __________ lg Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links |
|
|
||
10.10.2004, 10:06
Member
Beiträge: 890 |
#7
Zitat Sabina posteteBloß eine kleine Anmerkung Bei einer sicheren Konfiguration der Windowsdienste ist der Einsatz einer PFW nicht zwingend. Wer sich dennoch eine PFW installieren möchte kann z.B. die Kerio PFW ausprobieren. Persönlich würde ich aber zur Version 2.1.5 raten. Wichtige Vorteile gegenüber Version 4.xxx Runs as Internet Gateway (LAN) ist nicht auf 30 Tage begrenzt. Die FW ist sehr schlank und verschlingt kaum Ressourcen. Das Produkt ist ausgereift und es gibt nur sehr selten damit Probleme. Wichtige Nachteile gegenüber Version 4.xxx .DLL-Injection wird nicht erkannt. Diese Technik kann von Malware benutzt werden um unerkannt Datenpakete zu verschicken. Wenn man die viele Möglichkeiten bedenkt mit denen die Version 4.xxx (und generell alle PFWs) umgangen werden können, relativiert sich auch dieser Nachteil. Übrigens ist hier ein übersichtlicher Vergleich aufgestellt. Gruß Ajax Dieser Beitrag wurde am 10.10.2004 um 10:09 Uhr von Ajax editiert.
|
|
|
||
10.10.2004, 11:24
...neu hier
Themenstarter Beiträge: 8 |
#8
OK, werd den PC wohl neu aufsetzten müssen.
zum Glück hab ich noch keine wichtigen daten drauf. und den rest kann ich Backupen. normalerweise surfe ich auch mit Firefox, da ich den PC aber erst neu aufgesetzt hatte, waren sie noch nicht installiert. tja, das war dan wohl ein Eigentor. ach ja, ich habe zuerst mit HijackThis und danach mit eScan gescannt. Ich hab mal so ziemlich alles gelöscht und nochmal mit HijackThis gescannt. Hier das Logfile: ------------------------------------------------------------------------------ ogfile of HijackThis v1.97.7 Scan saved at 11:17:56, on 10.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\loading.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Dokumente und Einstellungen\Roman\Desktop\Programme\Internet\Browser\Firefox\firefox-0.9.3-win32-deDE\firefox\firefox.exe C:\WINDOWS\System32\devldr32.exe C:\Dokumente und Einstellungen\Roman\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe R3 - URLSearchHook: Richfind - {116A5A20-E2AF-4A41-8E90-93CFB2E774DD} - C:\WINDOWS\System32\Q5350468.dll (file missing) O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097004820007 ---------------------------------------------------------------------------- sieht doch schon besser aus. allerdings ist das Problem das Richfind ja immer wieder kommt. also Pech gehabt. trotzdem danke, hab hier noch einiges gelernt. schönen Sonntag noch moelbi |
|
|
||
10.10.2004, 19:30
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo @moelbi
Ueberpruefe diese exe [poste das Ergebnis] http://virusscan.jotti.dhs.org/ C:\WINDOWS\System32\loading.exe und fixe: R3 - URLSearchHook: Richfind - {116A5A20-E2AF-4A41-8E90-93CFB2E774DD} - C:\WINDOWS\System32\Q5350468.dll (file missing) Gehe in die Registry Start<Ausfuehren<regedit Gib in die Suchfunktion oben links ein: Q5350468.dll und loesche rechts in der Registry alles, was du findest. Dann oeffne noch einmal das HijackThis: HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren: Q5350468.dll den PC neustarten. #Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 10.10.2004 um 19:31 Uhr von Sabina editiert.
|
|
|
||
11.10.2004, 07:50
...neu hier
Themenstarter Beiträge: 8 |
#10
Hmm... danke für den Tipp Sabina.
Wäre noch ein interessantes Experiment. Aber ich habe dir schon vorgegriffen und gestern den PC neu aufgesetzt. also nix mehr mit Richfind. endlich! aber danke für die Hilfe. wünsche allen noch eine schöne Woche moelbi |
|
|
||
11.10.2004, 20:01
...neu hier
Beiträge: 7 |
#11
HI,
könntest bei mir auch mal nen blick drauf werfen, Logfile of HijackThis v1.97.7 Scan saved at 20:04:41, on 11.10.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe F:\Daemon\daemon.exe C:\WINDOWS\System32\rundll32.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\ctfmon.exe F:\Common\Bin\WinCinemaMgr.exe F:\Trillian\trillian.exe F:\FlashFXP\FlashFXP.exe F:\Opera\Opera.exe F:\warhammer\W40k.exe C:\WINDOWS\System32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\planner\LOKALE~1\Temp\Rar$EX00.922\HijackThis.exe O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Daemon\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = F:\Common\Bin\WinCinemaMgr.exe O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38181.4084722222 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
11.10.2004, 23:58
Ehrenmitglied
Beiträge: 29434 |
#12
Hallo @Sebuko
Du solltest unbedingt die WindowsUpdates machen, den IE auf IE SP1 aktualisieren und einen Antivirenscanner installieren. #Antivirus (free) http://www.free-av.de/ #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!. Files, die Adaware findet, können bedenkenlos gelöscht werden. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 00:00 Uhr von Sabina editiert.
|
|
|
||
12.10.2004, 00:03
Member
Beiträge: 40 |
#13
hi
nicht nur ie sondern auch windowsxp auf sp2 und hijackthis auf 1.98.2 bitte hijackthis einen eigenen ordner unter programmen gönnen __________ lg Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links |
|
|
||
12.10.2004, 07:53
...neu hier
Themenstarter Beiträge: 8 |
#14
Ich würde mal diese hier löschen:
C:\WINDOWS\System32\nvsvc32.exe F:\Daemon\daemon.exe C:\WINDOWS\System32\ctfmon.exe F:\Common\Bin\WinCinemaMgr.exe F:\Trillian\trillian.exe F:\FlashFXP\FlashFXP.exe F:\warhammer\W40k.exe ausser sie gehören oder sind irgendwelche Programme welche du willst. und ausserdem würde ich 03-O16 alle löschen. alles was da an normalen Programmen zusammenfällt kann man ja wieder installieren wen es nicht mehr richtig läuft oder das Programm schreibt alle Einträge von selbst neu. und zur weiteren Sicherheit würde ich auf einen alternativen Browser umsteigen. ich empfehle Opera (Mozilla und Firefox sind zwar auch gut aber... naja) also dann noch schönes werkeln. moelbi |
|
|
||
12.10.2004, 09:32
Ehrenmitglied
Beiträge: 29434 |
#15
Zitat moelbi postete@moelbi........Also bitte , diese Tipps waren wohl ein bisschen daneben @Sebuko, bitte nichts davon machen !!!!! mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 12.10.2004 um 09:34 Uhr von Sabina editiert.
|
|
|
||
Hab mir natürlich prompt ein paar malwares eingefangen.
Die startseite im Internet Explorer änderte sich selbstständig, ausserdem kamen noch ein paar popups dazu und Spybot meldete immer wieder irgendwelche veränderungen und zugriffe in der Registry.
Das macht mir überhaupt keinen Spass und deswegen habe ich mich auch schon ein bisschen in diesem Forum herumgesehen. Dabei bin ich auf HijackThis und Ad- Aware gestossen. (spybot hatte ich schon, nutzte jedoch nicht viel).
Ich habe nun beide tools gedownloadet und mit Ad-Aware schon recht viel weg gebracht.
und HijackThis habe ich auch gleich ausprobiert, leider kommt beim Scan folgende Fehlermeldung:
-----------------------------------------------------------------------------
An unexpected error has occurred at procedure: modMain_FixUNIXHostsFile()
Error #62 - Input past end of file
Please email me at merijn@spywareinfo.com, reporting the following:
* What you were doing when the error occurred
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2800.1106
HijackThis version: 1.98.0
This message has been copied to your clipboard.
-----------------------------------------------------------------------------
leider ist noch nicht alles weg.
zum Beispiel ändert die Startseite beim IE immer noch und ich habe immernoch eine Toolbar von Richfind.com diese Toolbar ist selsamerweise auch noch im Explorer.
Ausserdem habe ich im Taskmanager etwa 7 verschiedene scchost.exe laufen.
und die Prozesse hrtcm.exe, devldr32.exe und ctfmon.exe kommen mir auch etwas komisch vor.
ich wär froh wen mir irgend jemand helfen kann oder einen tipp geben kann,
den ich weiss echt nicht wo ich diese Teufelsdinger sonst noch dingfest machen kann. und in der registry getraue ich mich nicht rumzumachen ohne anleitung.
für jede nützliche antwort danke ich schon mal in voraus.
moelbi