funnywebsearch\blah service = "MSNMSGRR.EXE[WORM_RBOT.PZ]

#0
14.10.2004, 12:09
...neu hier

Beiträge: 6
#1 hilfe mein browser spinnt, ich hab irgendein Problem mit funnywebsearch oder so ähnlich ich poste mal den log von hijack:

Logfile of HijackThis v1.97.7
Scan saved at 11:03:01, on 14.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\javacs32.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\WINNT\system32\iptt.exe
C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kndpf.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
O2 - BHO: (no name) - {BEB3DE2F-ABB6-49E3-ADD2-AAD9AEF30853} - C:\WINNT\system32\sdkfj32.dll
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [javacs32.exe] C:\WINNT\system32\javacs32.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunOnce: [iptt.exe] C:\WINNT\system32\iptt.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196

eine exe die webrabtes oder so hieß habe ich schon entfernt nur komme ich leider nich mehr weiter da das hijackproblem immernoch auftritt.
Dieser Beitrag wurde am 19.10.2004 um 10:36 Uhr von Sabina editiert.
Seitenanfang Seitenende
14.10.2004, 15:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @FeierfoxX

Oeffne das HijackThis, hake an, was ich schreibe und <fix<, dann den PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\kndpf.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\kndpf.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\kndpf.dll/sp.html#29126
O2 - BHO: (no name) - {BEB3DE2F-ABB6-49E3-ADD2-AAD9AEF30853} - C:\WINNT\system32\sdkfj32.dll

vorher im Taskmanager den Prozess beenden (!)
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [javacs32.exe] C:\WINNT\system32\javacs32.exe
O4 - HKLM\..\RunOnce: [iptt.exe] C:\WINNT\system32\iptt.exe

neustarten

Gehe in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt
melde dich als Administrator an.


#oeffne noch mal das HijackThis.
HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINNT\system32\sdkfj32.dll <PC neustarten (immer wieder in den abgesicherten Modus gehen)

HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINNT\system32\javacs32.exe <PC neustarten

HijackThis<Config<Misc Tools<Delete a file on reboot< C:\WINNT\system32\iptt.exe <PC neustarten

Gehe in die Registry
Start<Ausfuehren<regedit:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\Windows SyncroAd (loesche rechts in der Registry diesen Eintrag)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Windows SyncroAd" = "<filepath to SyncroAd.exe>"
(loesche rechts in der Registry diesen Eintrag)

Deinstalliere:
<Windows SyncroAd

Loesche:
<C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\WINNT\system32\ide21201.vxd

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

# AboutBuster
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Deaktiviere den Symantec und lade Antivirus (free)..scanne alle Festplatten (stelle ein: <alle Dateien<
http://www.free-av.de/
_________________________________________________________________________
#Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter Start > Ausführen den Befehl services.msc
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert
#Windows-Dienste abschalten"!
http://www.dingens.org/
http://www.ntsvcfg.de/kss_xp/kss_xp.html#smb

#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 14.10.2004 um 15:26 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 08:34
...neu hier

Themenstarter

Beiträge: 6
#3 also im moment läuft alles soweit ganz gut hier nochmal das log:

Logfile of HijackThis v1.97.7
Scan saved at 08:28:10, on 19.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\msnmsgrr.exe
C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196
Seitenanfang Seitenende
19.10.2004, 10:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@FeierfoxX

WORM_RBOT.PZ

Gehe in die Registry
Start<Ausfuehren <regedit

# HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
loesche rechts:
blah service = "MSNMSGRR.EXE"

#HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
loesche rechts:
blah service = "MSNMSGRR.EXE"

#HKEY_CURRENT_USER>Software>Microsoft>OLE
loesche rechts:
blah service = "MSNMSGRR.EXE"

schliesse die registry

#Beende im Taskmanager
[blah service] msnmsgrr.exe

fixe es mit dem hijackThis
O4 - HKLM\..\Run: [blah service] msnmsgrr.exe
O4 - HKLM\..\RunServices: [blah service] msnmsgrr.exe

,starte neu und <gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Dort suche und loesche C:\WINNT\system32\msnmsgrr.exe

Dann ,mache aus dem abgesicherten Modus heraus folgende Onlinescanns (immer darauf achten, dass der Wuirm nicht im Taskmanager aktiv ist
#Onlinescann" eTrust Antivirus"(nur mit IE moeglich)
#Trend-Micro (Online)
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php
http://www.my-etrust.com/products/pestscan/pestscan.cfm?WebRefferalAffiliate=pscanca%20
#McAfee FreeScan (Online)
www.mcafee.com/myapps/mfs/default.asp


Dann mache unbedingt die WindowsUpdates

* Microsoft Security Bulletin MS04-011
* Microsoft Security Bulletin MS03-026
* Microsoft Security Bulletin MS03-001
* Microsoft Security Bulletin MS03-007

und aktualisiere den IE
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

#Um die Diensteverwaltung explizit aufzurufen, geben Sie ein unter Start > Ausführen den Befehl services.msc
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren....Sicherheitsrisiko !!!!!!

<Zone Labs
ZoneAlarm von Zone Labs ist in der Grundversion kostenlos und besonders für Einsteiger geeignet.
http://www.zonelabs.de/download/znalm.html
<Zone Alarm Deutsche Bedienungsanleitung
Kleines Manual auf trojaner-info.de, auch zum Download.
http://www.trojaner-info.de/zone/zonealarm.html

mfg
Sabina

http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_RBOT.PZ
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 10:40 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 11:56
...neu hier

Themenstarter

Beiträge: 6
#5 da ich langsam am verzweifeln bin hier nochmal das log vom besagtem rechner:

Logfile of HijackThis v1.97.7
Scan saved at 11:52:11, on 19.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\User13\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\RunOnce: [BrandClearStubs] RUNDLL32 IEDKCS32.DLL,BrandCleanInstallStubs >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver
O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINNT\system32\iernonce.dll,RunOnceExProcess
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: ppctlcab - http://www.my-etrust.com/includes/pscanner/ppctlcab.CAB
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.my-etrust.com/includes/pscanner/axscanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAA47F52-9ECF-44E6-A18C-1A680B7D2C29}: NameServer = 212.185.251.136,145.253.2.196

und da ich mich nicht mehr sicher fühle hier das log von meinem pers. rechner da muss ich bestimmt auch einiges machen:

Logfile of HijackThis v1.98.0
Scan saved at 11:55:43, on 19.10.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\cisvc.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINNT\system32\ctfmon.exe
C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe
C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe
C:\Programme\RMClient\PMCTray.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Büro\Diverses\Sicherheitstools\HijackThis.exe

O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - C:\WINNT\system32\inetconnect.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [JobHisInit] C:\Programme\RMClient\JobHisInit.exe
O4 - HKLM\..\Run: [MplSetUp] C:\Programme\RMClient\MplSetUp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RegistryMonitor] c:\registry.pif
O4 - HKLM\..\Run: [Microsoft Security Hot Fix Update] "%SystemRoot%\mshotfix.exe"
O4 - HKLM\..\Run: [MSUpdate] c:\CriticalUpdate.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Startup: enormasoft Desktop Plus.lnk = C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe
O4 - Global Startup: SmartNetMonitor for Client.lnk = C:\Programme\RMClient\PMClient.exe
O4 - Global Startup: enormasoft Desktop Plus.lnk = C:\Programme\enormasoft\CDeskPlus\CDeskPlus.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\inetrepl.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/01dad4cd3d29af0c6206/netzip/RdxIE601_de.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D61B3EC-3704-4E2E-BB37-48CB7C937B88}: NameServer = 145.253.2.196,194.25.2.132,212.185.251.136,217.237.150.225,212.185.251.41,217.237.149.161,194.25.0.54,194.25.2.133,194.25.2.129,194.25.2.131,193.158.141.116,212.185.253.136,217.5.112.21,217.237.150.97
Dieser Beitrag wurde am 19.10.2004 um 11:57 Uhr von FeierfoxX editiert.
Seitenanfang Seitenende
19.10.2004, 14:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @FeierfoxX

#das scheint o.k. zu sein
InternetInitializeAutoProxyDll
InternetInitializeAutoProxyDll Lib "iedkcs32.dll" ( _

PC 1:

#Gehe in die Registry und loesche:
<HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\
loesche:
<kb837272
und
<[Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP
und
[Regsister WScript] wscript -regserver

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
loesche:
<[Regsister WScript] wscript -regserver
__________________________________________________________________________

Fixe (deaktiviere auch im Taskmanager;)
O4 - HKLM\..\RunOnce: [Regsister WScript] wscript -regserver [Wscript.KakWorm]
O4 - HKLM\..\RunOnce: [Q828026] "C:\WINNT\INF\unregmp2.exe" /UpdateWMP [spyware]
O4 - HKLM\..\RunOnce: [RunOnceEx] rundll32.exe C:\WINNT\system32\iernonce.dll,RunOnceExProcess

neustarten
gehe in den abgeicherten Modus,


#Lade dieses Tool \Wscript.Kakworm Removal Tool
To use the tool, we recommend you download the Fixkak.exe file to your Windows desktop
http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.removal.tool.html
http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.html

und dann loesche:
<Unregmp2.exe
<C:\WINNT\INF\unregmp2.exe"

deaktiviere den Symantec und lade:
#Testversion "Antivirus Personal 5.0"
http://www.kaspersky.com/trials
und scanne.


#und lade das: / nach der Entfernung des Wurms
To install the Microsoft patch:
If you have not already done so, install the Microsoft Scripting update, which is available at
http://www.microsoft.com/technet/ie/tools/scrpteye.asp
For help with this, see the document How to download and install the Microsoft Scripting update.
http://securityresponse.symantec.com/avcenter/venc/data/wscript.kakworm.html
To disable the Windows Scripting Host in Microsoft Outlook Express only, see the Microsoft Knowledge Base document OLEXP: How to Disable Active Scripting in Outlook Express, Article ID: Q192846.

Dann poste das Log noch mal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 15:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.10.2004, 14:30
...neu hier

Themenstarter

Beiträge: 6
#7 hmm ich kann den symmantec nicht deaktivieren das ist ne coorporated edition also vom server aus nur hat die wohl ihre macken.
Seitenanfang Seitenende
19.10.2004, 15:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 @FeierfoxX

PC 2

Gehe in die Registry
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
MSUpdate = C:\CriticalUpdate.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
RegistryMonitor = C:\registry.pif

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
loesche:
Microsoft Security Hot Fix Update = \"%SystemRoot%\mshotfix.exe\"

Eine Library-DLL namens inetconnect.dll wird im Windows-Systemordner erstellt und als COM-Objekt sowie als Browser Helper Object für den Microsoft Internet Explorer registriert, indem Registrierungseinträge erstellt werden unter:

HKCR\CLSID\
loesche:
(FD3A6AB4-5527-4B52-90AF-F90CD3270861)

HKLM\Software\Microsoft\Windows\Currentversion\Explorer\
Browser Helper Objects\
loesche:
(FD3A6AB4-5527-4B52-90AF-F90CD3270861)

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
loesche:
(0CDAAEC2-E245-44CC-8357-CAB70172D017)\

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
loesche:
(8E668361-C801-41B7-BF89-2FC2C8DE9167)\
__________________________________________________________________

Fixe
O2 - BHO: (no name) - {FD3A6AB4-5527-4B52-90AF-F90CD3270861} - C:\WINNT\system32\inetconnect.dll
[Troj/Adclick-X]
O4 - HKLM\..\Run: [RegistryMonitor] c:\registry.pif
O4 - HKLM\..\Run: [MSUpdate] c:\CriticalUpdate.exe
O4 - HKLM\..\Run: [Microsoft Security Hot Fix Update] "%SystemRoot%\mshotfix.exe"

neustarten und UNBEDINGT in den abgesicherten Modus gehen (also alles nur im abges. Modus machen)

#oeffne noch mal das HijackThis
Config< Misc Tools < Open Hosts file Manager < Delete line <
loesche alles , lasse nur stehen:
127.1.1.0 localhost
#Original Host Datei

Troj/Adclick-X erstellt eine neue Version der HOSTS-Datei in:
C:\WINNT\SYSTEM32\DRIVERS\ETC\hosts
C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts
or
C:\WINDOWS\hosts

Oeffne noch mal das HijackThis
<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:C:\WINNT\system32\inetconnect.dll <PC neustarten

#Start<Ausfuehren (reinkopieren)
regsvr32 /u [systemroot]\mshotfix.exe
<enter<

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:%SystemRoot%\mshotfix.exe <neustarten
#dann ueberpruefen, ob die <mshotfix.exe< geloescht ist (!)

<HijackThis<Config<Misc Tools<Delete a file on reboot< reinkopieren:
c:\registry.pif < PC neustarten

loesche auch:
<twain_32.exe
<CriticalUpdate.exe

____________________________________________________________________

Lade den Kaspersky und scanne im abgesicHerten Modus.

mfg
Sabina

http://www.sophos.de/virusinfo/analyses/trojadclickx.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.10.2004 um 15:38 Uhr von Sabina editiert.
Seitenanfang Seitenende