Home » Viren, Trojaner & Malware Forum » kann mir jemand mit w32/jeefo helfen? » Themenansicht

kann mir jemand mit w32/jeefo helfen?
#0
24.11.2006, 15:15
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 hackme

Gehe in die registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

alles in 0 aendern

"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 - in 1 aendern

____________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\PowerManager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_POWERMANAGER\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PowerManager

Files to delete:
C:\WINDOWS\svchost.exe
C:\WINDOWS\IsUn0407.exe
Klicke die grüne Ampel
- das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
_______________

Oeffne den Texteditor (Notepad) und kopiere diesen Text rein.
mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: 018.bat

Doppeltklicken und kopiere den Text ab, der angezeigt wird. - c:\key4.txt

Zitat

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter"
start notepad.exe c:\key4.txt
exit

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 20:20
hackme
...neu hier

Beiträge: 10
#17 ok hab ich gemacht....aber bei der batch datei bekomme ich folgende fehler meldung:

"e kann nicht importiert werden: Fehler beim Öffnen der Datei. Mögloche Ursache ist ein Datenträger- oder Dateisystemfehler."
Seitenanfang Seitenende
24.11.2006, 20:39
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 klar, wenn du die bat nicht korrekt abspeicherst, kann es nicht klappen ;)
Gebe bei Dateityp 'Alle Dateien' an

Zitat

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 20:47
hackme
...neu hier

Beiträge: 10
#19 ok...jetz hab ichs ;) hier das log:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter]

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/octet-stream]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-complus]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\Class Install Handler]
@="AP Class Install Handler filter"
"CLSID"="{32B533BB-EDAE-11d0-BD5A-00AA00B92AF1}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\deflate]
@="AP Deflate Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\gzip]
@="AP GZIP Encoding/Decoding Filter "
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\lzdhtml]
@="AP lzdhtml encoding/decoding Filter"
"CLSID"="{8f6b0360-b80d-11d0-a9b3-006097942311}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/webviewhtml]
@="WebView MIME Filter"
"CLSID"="{733AC4CB-F1A4-11d0-B951-00A0C90312E1}"



so hoffe ich werd den virus jetz bald los ;)
Seitenanfang Seitenende
24.11.2006, 20:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 meiner Ansicht nach muesste es wieder o.k. sein, dennoch, mache einen scan mit sophos und poste den report (das laden der virensignaturen wird lange dauern)
http://virus-protect.org/multiavtool.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 20:56
hackme
...neu hier

Beiträge: 10
#21 ok werd ich machen

sagma dieses sophos...was isn das fürn av da steht noch McAfee und kaspersky drinn sind das die scan methoden? würd mich ma interessieren
Seitenanfang Seitenende
24.11.2006, 20:59
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 du kannst mit allen scannern arbeiten - wenn du lust und zeit hast ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.11.2006, 22:58
hackme
...neu hier

Beiträge: 10
#23 so hier der report:


Could not check C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_44ab8f49\winwks\de\basic-9x\ccgen.dll.gz\Gzip (corrupt)
Could not open C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\f04lessf.default\parent.lock
>>> Virus 'W32/Jeefo-A' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Cruel-Intentionz.exe
>>> Virus 'W32/Jeefo-A' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Plugins\Cmsn.exe
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Plugins\Cpass.dll\FILE:0000
>>> Virus 'Troj/Spav-A' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Plugins\Cpass.dll\FILE:0001
>>> Virus 'Mal/Packer' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Stub\mew.exe
>>> Virus 'Troj/Ciadoor-K' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Stub\stub1.stb
>>> Virus 'Troj/Ciadoor-BY' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\Stub\stub2.stb
>>> Virus 'Troj/Ciadoor-CV' found in file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\CIA1.3.rar\CIA1.3\User Plugins\textospeak.dll
Removal successful
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Arabic.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/English.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/French.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/German.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Italian.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Malay.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Nederlands.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Persian.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Polish.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Portugues(Brasil).ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Russian.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Swedish.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Thai.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Language/Turkish.ini
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\English.chm
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\ProRat.exe
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Turkish.chm
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\ProRat_v1.9.zip\Version_Renewals.txt
Password protected file C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery\h4xx0r 70015\tutorial.rar\tutorial.avi
Could not open C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\hsperfdata_Besitzer\1188
Could not open C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temp\~DF34CF.tmp
Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Could not open C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
Could not open C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
Aborted checking C:\Download\battlefield2142_demo\data2.cab - appears to be a 'zip bomb'
Aborted checking C:\Download\battlefield2142_demo.zip - appears to be a 'zip bomb'

5 master boot records swept.
50316 files swept in 1 hour, 55 minutes and 33 seconds.
135 errors were encountered.
8 viruses were discovered.
1 file out of 50316 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
115 encrypted files were not checked.
Ending Sophos Anti-Virus.
Seitenanfang Seitenende
25.11.2006, 01:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#24 da kannst du mal sehen, wie du dir den Troj/Ciadoor eingefangen hast ;) - also eingefangen ist nicht das korrekte wort, du hast es bewusst geladen ;)

loesche:
C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\GTA San Andreas User Files\Gallery
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.11.2006, 01:17
hackme
...neu hier

Beiträge: 10
#25 ich wollt ja nur den jeefo los werden der cia is nur um auf lans für verwirrung zu sorgen ;) nich gleich böse sein und nochma danke für die schnelle hilfe echt super board hier

edit:die ganzen av progs mit denen ich scannen sollte habens eh zerschossen ^^
Seitenanfang Seitenende
02.01.2007, 01:30
bloody_eye
...neu hier

Beiträge: 1
#26 War vor kurzer Zeit auf einer LAN und dabei hat sich wohl jeefo eingeschlichen. Nach dem der Virus schon etliche exe-Dateien infiziert hatte habe ich mit TuneUp das Powermanager Ding aus dem Autostart rausgenommen. Wie es scheint, ist der Virus nun verschwunden. Hab das ganze System mit NAV gescannt, alle entdeckten exe-Dateien in Quarantäne geschmissen. Dateien die sich nicht in Quarantäne setzen lassen wollten mit Unlocker freigegeben und gelöscht, die wo ich mir sicher bin, dass ich die nicht unbedingt brauch. Bin dann nochmals mit AntiVir drüber, hat dann nichts mehr gefunden und anschließend mit Jeefogui, ebenfalls ohne Befunde. Trotzdem, prüft mal bitte meinen Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\mdm.exe
C:\Programme\Winamp\winamp.exe
C:\Dokumente und Einstellungen\bloody_eye.HEAVYMETAL\Desktop\jeefogui.com
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\bloody_eye.HEAVYMETAL\Lokale Einstellungen\Temp\wz1b57\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{15FF4B3E-BC44-4501-8EE9-81D6B6A5BE27}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{15FF4B3E-BC44-4501-8EE9-81D6B6A5BE27}: NameServer = 62.104.191.241 62.104.196.134
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcc_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcccoms.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: O&O Defrag 2000 (OOD2000) - O&O Software GmbH - C:\WINDOWS\system32\OOD2000.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)

Vielen Dank
Dieser Beitrag wurde am 02.01.2007 um 01:34 Uhr von bloody_eye editiert.
Seitenanfang Seitenende
02.01.2007, 01:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 bloody_eye

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.01.2007, 01:16
baerchen106
...neu hier

Beiträge: 1
#28 Hallo
wer kann mir helfen ich habe eigentlich kaum ahning von computern
bin noch am lernen
jetzt habe ich mir diesen w32.jeefo eingefangen das Problem ist
trotz mehrmaligen formatieren und system neu aufspielen
bekomme ich ihn nicht runter
wo bitte hat er sich eingenisset und wie bekomme ich ihn daraus
bitte bitte helft mir

lg Bärchen
Seitenanfang Seitenende
08.01.2007, 12:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 baerchen106

wenn du formatierst, dann musst du die Partition formatieren, auf dem der Trojaner geladen wurde..............

poste das log vom HijacktHis
http://virus-protect.org/hjtkurz.html

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12