Adware.Livechat entfernen? |
||
---|---|---|
#0
| ||
25.11.2004, 20:04
...neu hier
Beiträge: 10 |
||
|
||
25.11.2004, 20:13
Moderator
Beiträge: 7805 |
#2
Du hast eine der "Boeseren" Hijacker erwischt.
Starte im abgesicherten Modus, fix bitte mal folgendes: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mstart.de/startseite.php? R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O15 - Trusted Zone: http://*.63.219.181.7 Bennene diese Dateien um: C:\WINNT\system32\msswch.exe C:\WINNT\system32\netddx.exe C:\WINNT\system32\msbkup.exe Erzeuge ein neues Hijackthis log im abgesicherten Modus(!) und schicke bitte die umbenannten Dateien an virus@rokop-security.de __________ MfG Ralf SEO-Spam Hunter |
|
|
||
25.11.2004, 20:16
Moderator
Beiträge: 7805 |
||
|
||
25.11.2004, 20:27
...neu hier
Themenstarter Beiträge: 10 |
#4
tut mir leid, mein Bruder klagt schon seit ein paar Tagen über das Problem, jetzt ist es auch Accountübergreifend aktiv geworden, nachdem ich gestern erste Checks gemacht hatte.
zu msswch.exe gibt es auch eine gleichnamige Dll und eine msswchx.exe, soll ich die eventuell mitschicken? Die eingestellte Startseite ist übrigens in Ordnung. |
|
|
||
25.11.2004, 20:36
Moderator
Beiträge: 7805 |
||
|
||
25.11.2004, 20:44
...neu hier
Themenstarter Beiträge: 10 |
#6
Ok, die Mail ist rausgeschickt.
Beim Neustart hat AntiVir noch einen Dialer mitentdeckt, der 40.exe heißt, und bis jetzt bei mehreren Neustarts von mir instnktiv gelöscht wurde. Soll ich den beim nächsten Mal mitschicken? Mein Bruder glaubt, er könnte bei einem der Links in diesem Forumsthread infiziert sein: http://warhammer.gamigo.de/forum/thread.php?threadid=2995 Achja, könntest du aus Lesbarkeitsgründen den Startseiteteil wegedidieren? Dieser Beitrag wurde am 25.11.2004 um 20:46 Uhr von DarkX2 editiert.
|
|
|
||
25.11.2004, 21:52
Moderator
Beiträge: 7805 |
#7
Habe den Link mal herausgenommen. Die Dateien, die hier angekommen sind, scheinen "verstuemmelt" zu sein, auf das Board, was du verlinkt hast, kommt man nur, wenn man sich dort anmeldet. Schick mir doh mal das entsprechende Posting an die obige Adresse.
Versuche es inzwischen mal mit Escan. Vieleicht findet es mehr als Antivir: http://www.rokop-security.de/board/index.php?showtopic=3867 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2004, 11:41
...neu hier
Themenstarter Beiträge: 10 |
#8
Hmm, seltsam, dass die Dateien kaputt ankamen.
Die Links: Zitat Hmm, bei mir ist er nicht mehr aufgetaucht, bei meinem Bruder im Account ist er immer noch aktiv: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\SLEE401.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\msswch.exe C:\WINNT\system32\netddx.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vovin.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.44:80 O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O15 - Trusted Zone: http://*.63.219.181.7 [rot]gleich gekickt...[/rot] O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254 Den von dir empfohlenen Scan habe ich noch nicht gemacht |
|
|
||
27.11.2004, 12:08
Moderator
Beiträge: 7805 |
#9
Dise beiden Dateien muessen noch weg:
C:\WINNT\system32\msswch.exe C:\WINNT\system32\netddx.exe Pack sie vorher mal mit Winrar oder Winzip und schicke sie nochmal bitte. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
27.11.2004, 12:41
...neu hier
Themenstarter Beiträge: 10 |
#10
Hmm, msswch.exe existiert nicht im System32 Ordner, die andere Datei habe ich geschickt...
Die Windowssuche hat auch kein Ergebnis gebracht... |
|
|
||
27.11.2004, 12:52
Moderator
Beiträge: 7805 |
#11
Schau mal ins Hijackthis log unter den laufenden Prozessen. Da ist sie.
"alle Dateien anzeigen" hast du aktiviert? Sie dazu auch das: http://www.trojaner-info.de/hijacker/escan.shtml __________ MfG Ralf SEO-Spam Hunter |
|
|
||
01.12.2004, 21:41
...neu hier
Themenstarter Beiträge: 10 |
#12
So, also eine Datei namens msswch.exe gibt es auf dem Rechner scheinbar wirklich nicht -nur HijackThis meldet sie noch. Netddx.exe habe ich diesmal über den Taskmanager beendet, und dann eine Kopie der Datei erstellt, die ich jetzt schicke...
Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\csrss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\hidserv.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\SLEE401.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe C:\WINNT\system32\spoolsrv.exe C:\WINNT\system32\msbkup.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\msswch.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Downloads\HijackThis.exe C:\WINNT\system32\taskmgr.exe C:\DOKUMENTE UND EINSTELLUNGEN\SVEN\DESKTOP\mwav.exe C:\DOKUMENTE UND EINSTELLUNGEN\SVEN\DESKTOP\mwav.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vovin.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254 Hmm, Mail kann ich nicht schicken über das Webinterface, weil Web.de einen Virus feststellt, muss ich nacher aus meinem Account machen... |
|
|
||
02.12.2004, 04:57
Moderator
Beiträge: 7805 |
#13
Doch, die sind alle noch da.
Nutz mal die rm.zip Datei aus diesem Posting: http://forums.skads.org/index.php?showtopic=80 Entpacke es in dein System32 Ordner und starte de rem.bat im abgesicherten Modus. Danach wird es eine bad.zip im systemordner und eine log.txt in c:\ geben. Starte neu und schick mir mal beides. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
09.12.2004, 13:28
...neu hier
Themenstarter Beiträge: 10 |
#14
Die Log.txt gibt es in der Tat, eine bad.zip dagegen suche ich vergeblich...
Hier die Log: Microsoft Windows 2000 [Version 5.00.2195] C:\WINNT\system32 "Files found" --------------------------------------------------------------------- msswch.exe adsnp.dll cdrview.dll comctrl32.dll smbin.exe spoolsrv.exe MSBKUP.EXE usb.dll Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- "Files Not Deleted" --------------------------------------------------------------------- Checking for version 2 files.......... Files Found ------------------------------------------------------------ Zipping files............ --------------------------------------------------------- deleting files........ --------------------------------------------------------- Files Not deleted ------------------------------------------------------------ Merging registry entries ----------------------------------------------------------------- The Registry Entries Found... ----------------------------------------------------------------- Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files] "40.exe"="" "msswch.exe"="" "adsnp.dll"="" "cdrview.dll"="" "comctrl32.dll"="" "dbconf.exe"="" "qwinsta32.exe"="" "routenet.exe"="" "smbin.exe"="" "taskrun.exe"="" "usrdate.exe"="" "spoolsrv.exe"="" "winmcd.exe"="" "winsrv.exe"="" "msbkup.exe"="" "usb.dll"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes] "40.exe"="" "msswch.exe"="" "dbconf.exe"="" "qwinsta32.exe"="" "routenet.exe"="" "smbin.exe"="" "taskrun.exe"="" "usrdate.exe"="" "spoolsrv.exe"="" "winmcd.exe"="" "winsrv.exe"="" "msbkup.exe"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys] "{98DBBF16-CA43-4c33-BE80-99E6694468A4}"="" "{A5366673-E8CA-11D3-9CD9-0090271D075B}"="" "Files"="" "Ms4Hd"="" "Processes"="" "RegKeys"="" "RegValues"="" "Vendor"="" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues] "msbkup.exe"="" "spoolsrv.exe"="" ----------------------------------------------------------------- Done |
|
|
||
09.12.2004, 16:31
Moderator
Beiträge: 7805 |
#15
Poste bitte noch ein neues Log und ich hoffe, das dann alles erledigt ist.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Dieser Text taucht alle 30 Minuten auf:
"warning: windows firewall detected suspicious network activity on your computer. Malicous software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords.
do you want to download certificated software and protect your computer?"
Spybot, Adaware, CWS Shredder und Antivir sind bereits in der jeweils aktuellsten Version durchgelaufen, konnten aber nichts finden.
Noch Vorschläge?
Das HijackThis Log:
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\spoolsrv.exe
C:\WINNT\system32\msbkup.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BitTorrent\btdownloadgui.exe
C:\mIRC\mirc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\system32\msswch.exe
C:\WINNT\system32\netddx.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MangaViewer\Hikaru.exe
C:\Downloads\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254