Tr/drop.delf.dj.4\djtopr1150.exe\\[Start Upping] qtask.exe

#0
09.10.2004, 17:12
...neu hier

Beiträge: 2
#1 Hallo,

Hab schonmal ein Eintrag drin, aber hab mein Problem schon geschildert und jetzt noch was dazugehängt.

Habs nochmal gemacht, da stehen noch ein paar mehr drin als das vorige z.B. Web Rebates??????

Logfile of HijackThis v1.98.2
Scan saved at 17:06:10, on 09.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
c:\temp\msbb.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\Anti-Trojan-55\Anti-Trojan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Dési\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\ger.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [hp Update 2100C] c:\sj644\hpupdate.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AT-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [Anti-Trojan-Watch] C:\Programme\Anti-Trojan-55\ATWatch.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=77443ac5da96f89e5d08ba4608f7c4c53bb5cc26920dae43dbde433474f5523575911e061c10952786793d88cfdd992ec73e7e9dad171af0cc174c:5e6ae3f8fe977347df35a291e5ba0160
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/autocomplete.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
Dieser Beitrag wurde am 21.10.2004 um 15:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.10.2004, 20:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @Desiree

Fixe:
??
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
file://C:\APPS\IE\offline\ger.htm
??

O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32
C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe]
"C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe"
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=77443ac5da96f89e5d08ba4608f7c4c53bb5cc26920dae43dbde433474f5523575911e061c10952786793d88cfdd992ec73e7e9dad171af0cc174c:5e6ae3f8fe977347df35a291e5ba0160

????
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
????

Neustarten

#LSPfix.exe
http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm
bringe die newdotnet5_48.dll von der linken auf die rechte Seite und loesche die dll.
(Falls sie vorhanden ist

<gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml
Deinstalliere:
<C:\PROGRA~1\NEWDOT~1\NEWDOT
<C:\Programme\Web_Rebates\WebRebates0.exe"
<C:\Programme\Web_Rebates\WebRebates1.exe
<C:\Program Files\Windows SyncroAd\SyncroAd.exe
<C:\Program Files\Windows SyncroAd\WinSync.exe

#Datentraegerbereinigung
: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Loesche:
<C:\Programme\Web_Rebates\WebRebates0.exe"
<C:\Programme\Web_Rebates\WebRebates1.exe
<C:\Program Files\Windows SyncroAd\SyncroAd.exe
<C:\Program Files\Windows SyncroAd\WinSync.exe
<c:\temp\msbb.exe
<C:\DOKUME~1\DSI~1\LOKALE~1\Temp\djtopr1150.exe"
<localNrd.cab=>enthaelt polall1l.exe (unter WinRar suchen, denn es ist eine gepackte Datei) [Trj/Downloader.GK]
<Polall1.exe

#Leere die Odner (nicht die Ordner selbst loeschen
:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\*.*

besonders diese hier:
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\THI12B65.tmp
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI389A.tmp\localNrd.cab[polall1l.exe]
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI389A.tmp\polall1l.exe
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI3DCB.tmp\localNrd.cab[polall1l.exe]
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\THI3DCB.tmp\polall1l.exe


#Normal neustarten


#Search&Destroy
http://www.safer-networking.org/de/download/index.html

#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
http://www3.ca.com/securityadvisor/virusinfo/scan.aspx
#Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

Dann poste das neue Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 09.10.2004 um 21:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
09.10.2004, 22:10
...neu hier

Themenstarter

Beiträge: 2
#3 danke für die tipps, sorry das ich doppelt gepostet hab. wollt nur was hinzufügen.
Seitenanfang Seitenende
21.10.2004, 05:05
...neu hier

Beiträge: 5
#4 hallo,

sorry falls ich nerve aber ich habe das selbe Problem und da ich mich nicht damit auskenne frag ich mich ob die problembehebung bei jedem logfile anders ist daher geb ich mal hier mein logfile ein und hoffe auf hilfe von eurer seite bei meiner behebung des trojaners.......

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Logfile of HijackThis v1.98.2
Scan saved at 04:43:26, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wmplayer612.exe
C:\Program Files\Win Comm\WinComm.exe
C:\Program Files\Win Comm\WinLock.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=3669f00b266159f91d5a5e5f7d6c7fe45a212eca0eb53d155f7f2d75349fd95cf44b264f2c38b3fa227dc8071b2b0dfdd561eaa0398dd574e24fccdf5dd61755:e71668d3bfa7fc19043f7497194f6505
O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253



ein großes dankeschön im voraus für die mühe

mfG Cheers
Seitenanfang Seitenende
21.10.2004, 10:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo@Cheers

Registry sichern
http://www.chip.de/artikel/c_artikelunterseite_8817258.html?tid1=&tid2=

Gehe in die Registry
Start<Ausfuehren<regedit
gib oben links in die Suchfunktion der Registry ein: (und loesche dann rechts in der Registry alles, was du findest)
<SyncroAd
<Syncro
<wmplayer612
<qtask
<WebRebates
<WinComm
<djtopr1150

loesche auch folgende Eintraege (rechts)
"Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
"Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
"Start Upping"="qtask.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
******************************************************
"HKLM\System\CurrentControlSet\Control\Lsa
<"restrictanonymous"="" in key "
HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "0 "
<"restrictanonymoussam"="" in key "
HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "1 "

Die Einstellung HKLM\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous = "1" lässt keine Aufzählrung von SAM-Konten und -Namen zu. Der Standardwert ist "0". Er kann über die Lokale Sicherheitsrichtlinie geändert werden. Lesen Sie dazu Microsoft Artikel 246261.

<HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--in "Y" aendern

Fixe mit dem HijackThis, dann PC neustarten

O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\Run: [Win Comm] C:\Program Files\Win Comm\WinComm.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe"
O4 - HKCU\..\Run: [Windows Media Player 6.1.2] wmplayer612.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=3669f00b266159f91d5a5e5f7d6c7fe45a212eca0eb53d155f7f2d75349fd95cf44b264f2c

neustarten un im abgesicherten Modus als Administrator anmelden (waehle den abges. Modus mit Internetverbindung)

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Suchfunktion von Windows:
1. "Bevorzugte Einstellungen ändern | Datei- und Ordnersuchverhalten
ändern | Erweitert [...] Empfohlen für fortgeschrittene Benutzer"
2. Über "OK" auf "Weitere Optionen" gehen und die folgenden Optionen
auswählen:
[x] Systemordner durchsuchen
[x] Versteckte Elemente durchsuchen
[x] Unterordner durchsuchen


#Loesche manuell:

<C:\WINDOWS\EliteToolBar\EliteToolBar version 53.dll
<C:\Programme\Web_Rebates\WebRebates1.exe
<C:\Programme\Web_Rebates\WebRebates0.exe
<C:\Program Files\Windows SyncroAd\SyncroAd.exe
<C:\WINDOWS\System32\wmplayer612.exe
<C:\Program Files\Win Comm\WinComm.exe
<C:\Program Files\Win Comm\WinLock.exe

<C:\WINDOWS\SYSTEM\qtask.exe.
<mutex <<<"football"

Start<Ausfuehren< (reinkopieren) %temp%
<C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe loeschen (!)

Datentraegerbereinigung:
und Loeschen der Temporary-Dateien
1. Start<Ausfuehren<cleanmgr
#Click Temporary Internet Files, O.K
#Temporary Files

Deinstalliere fuer 15 Tage den Antivirus und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials

#Deaktiviere die Wiederherstellung und poste das Log vom HijackThis nochmal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.10.2004 um 15:33 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.10.2004, 14:13
...neu hier

Beiträge: 5
#6 hi,

ich weiß net ob ich es hinbekommen habe aber mal schaun.......


Logfile of HijackThis v1.98.2
Scan saved at 14:11:11, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\qtask.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{182BDA33-87B9-4C00-86B7-31CF41A645FF}: NameServer = 62.27.27.62 62.27.53.66



alles richtig? weil manchmal gab es die sachen nicht die ich löschen sollte und die datei C:\DOKUME~1\Juri\LOKALE~1\Temp\djtopr1150.exe konnte ich auch nicht löschen da ich sie nciht mal gefunden habe........
bin ich damit jetzt fertig? danke im voraus für die antworten......


mfG Cheers
Seitenanfang Seitenende
21.10.2004, 15:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo@Cheers

Du hast den Backdoor noch drauf

Gehe in die Registry

loesche folgende Eintraege (rechts)
"Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
"Start Upping"="qtask.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
"Start Upping"="qtask.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

"HKLM\System\CurrentControlSet\Control\Lsa

<"restrictanonymous"="" in key "
HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "0 "
<"restrictanonymoussam"="" in key "
HKLM\System\CurrentControlSet\Control\Lsa" --aendere den Wert in "1 "

<HKLM\SOFTWARE\Microsoft\Ole\EnableDCOM = "N"--in "Y" aendern

Fixe mit dem HijackThis
:
O4 - HKLM\..\Run: [Start Upping] qtask.exe
O4 - HKLM\..\RunServices: [Start Upping] qtask.exe
O4 - HKCU\..\Run: [Start Upping] qtask.exe

neustarten

Suche und loesche:
C:\WINDOWS\System32\qtask.exe

Lade Antivirus
#Antivirus (free)
http://www.free-av.de/
konfiguriere: alle Dateien< und Heuristik: mittel und mache einen Komplettscenn.

Dann deaktiviere die Wiederherstellung und poste das Log noch mal.

mfg
Sabina
````
http://sandbox.norman.no/live_2.html?logfile=4810
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.10.2004 um 10:39 Uhr von Sabina editiert.
Seitenanfang Seitenende
21.10.2004, 16:58
...neu hier

Beiträge: 5
#8 Logfile of HijackThis v1.98.2
Scan saved at 16:57:11, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Dokumente und Einstellungen\Juri\Desktop\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1460C76E-FA91-42BC-B7FB-C8779880A5B8}: NameServer = 192.168.122.252,192.168.122.253



bin ich nun fertisch? daaaaaaaankeschön sabine

p.s.: davor hast du mir gesagt ich soll mir kaspersky holn und jetzt soll ich mir doch antivir holn, was soll ich denn nun holen? hab z.Z. kaspersky.
Dieser Beitrag wurde am 21.10.2004 um 17:01 Uhr von Cheers editiert.
Seitenanfang Seitenende
22.10.2004, 12:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo @Cheers

Das mit dem Kaspersky, das geht schon in Ordnung...ich habe nur den Antivirus empfohlen, weil der Kaspersky den Virus augenscheinlich nicht erkannt\geloescht hat.
Nun hast du es manuell erledigt...Glueckwunsch ! Das Log ist sauber ;)

Vergiss nicht, die Wiederherstellung zu deaktivieren, dann boote und aktiviere sie wieder..
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

In 15 Tagen, wenn der Kaspersky (Trial) ablaueft, laedst du den Antivirus . Der ist free.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe

Sygate free installieren
<Sygate (Deutsch)Firewall
http://www.sygate.de/
Danach www.windowsupdate.com besuchen und alle Updates installieren
Falls der Sygate installiert ist, ihn solange freischalten, weil sonst die Updates nicht funktionieren)

<PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.10.2004 um 10:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.10.2004, 18:49
...neu hier

Beiträge: 5
#10 danke sabine!!!!!!!!!!!!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: