Home » Viren, Trojaner & Malware Forum » malware , aber wie löschen? » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

malware , aber wie löschen?

09.12.2004, 19:02

GolfII

Member

Beiträge: 73

#1 Hi,

Hab mal wieder meinen PC abgecheckt, und da kam so einiges an Malware hervor.
Aber ich weiss nicht sorecht wie ich das löschen soll.Will nichts kaputt machen.
Habe mit eScan gescannt.
Das kam heraus:

File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\System32\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken.
File C:\DOKUME~1\SANDRA~1\LOKALE~1\Temp\dvkqvmwi.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Sandra Jakob\Lokale Einstellungen\Temp\dvkqvmwi.exe infected by "not-a-virus:AdWare.Lop.e" Virus. Action Taken: No Action Taken.
File C:\unzipped\hijackthis1977\backup-20040828-173712-672.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system32\osconfig.dll tagged as not-a-virus:RiskWare.Proxy.MarketScode.c. No Action Taken.

Dann hab ich noch ne frage, was es z.B damit aufsich hat.Die meldung kam bei ein paar dateien:

Thu Dec 09 17:07:52 2004 => *** File C:\WINDOWS\System32\shell32.dll having Size Restriction ***

Danke im vorraus für eure hilfe !

bye :-)
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

10.12.2004, 13:09

Sabina

Ehrenmitglied

Beiträge: 29434

#2 MarketScore
MarketScore.com
Category
Spyware: Any product that employs a user's Internet connection in the background without their knowledge, and gathers/transmits info on the user or their behavior. Many spyware products will collect referrer info (information from your web browser which reveals what URL you linked from), your IP address (a number that is used by computers on the network to identify your computer), system information (such as time of visit, type of browser used, the operating system and platform, and CPU speed.) Spyware products sometimes wrap other commercial products, and are introduced to machines when those commercial products are installed. See also Adware.

Adware: Software that brings ads to your computer. Such ads may or may not be targeted, but are "injected" and/or popup, and are not displayed within the form of an ad-sponsored application. Some Adware may hijack the ads of other companies, replacing them with its own. See also Spyware, Browser Helper Object.
http://www3.ca.com/securityadvisor/pest/pest.aspx?id=43974

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

1.) öffne das HijackThis:
2.) HijackThis-->Config-->Misc Tools-->Delete a file on reboot
3.) kopiere rein:

C:\WINDOWS\System32\osconfig.dll

4.) PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 10.12.2004 um 13:13 Uhr von Sabina editiert.

10.12.2004, 14:30

GolfII

Member

Themenstarter

Beiträge: 73

#3 Hi,

danke für die schnelle hilfe !
ist jetzt diese ganze spy und malware komplett unten von meinem system,oder soll ich nochmal zur sicherheit mit eScan scannen ?

Danke nochmal

EDIT ; Kleine frage noch die mir eben einfiel: Kann es sein , das durch diese Malware mein Scandisk nichtmehr ging ? ( bei Start- Arbeitsplatz - rechtsklick eigenschaften auf HDD ,- Fehlerhafte sektoren überprüfen........ )

Weil das ging nicht als die malware da war.. aber als sie weg war dann schon !*grübel*
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

Dieser Beitrag wurde am 10.12.2004 um 22:02 Uhr von GolfII editiert.

11.12.2004, 00:56

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Hallo@

scanne noch mal mit eScan (zum Ueberpruefen)
Was den Scandisk betrifft ???? Keine Ahnung...das frage mal in einem Softwareforum oder jemand anderes hier hat eine Erklaerung
__________
MfG Sabina

rund um die PC-Sicherheit

11.12.2004, 13:13

GolfII

Member

Themenstarter

Beiträge: 73

#5 Hi,

Ok ich scann meinen pc nachher nochmal durch.
Hab grad den von meiner mom gescannt und da kam einiges zum vorschein.wie bekomm ich das weg?

File C:\WINDOWS\glo-10348.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\DOKUME~1\Chaote\LOKALE~1\Temp\Viagramouse\Viagramouse.exe tagged as not-a-virus:Joke.Win32.Viagra. No Action Taken.
File C:\DOKUME~1\Chaote\LOKALE~1\Temp\_fixed\com\ephox\editlive\java2\POSTApplet.class infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Chaote\LOKALE~1\Temp\_fixed.ZIP infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Chaote\LOKALE~1\TEMPOR~1\Content.IE5\Z6XZP9CM\Funnyworld(26-fyd-1-0-#0)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\.jpi_cache\jar\1.0\editlivejava.jar-234d4037-5db2c90e.zip infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\editlivejava.jar-38457e07-667f66a4.zip infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\Lokale Einstellungen\Temp\Viagramouse\Viagramouse.exe tagged as not-a-virus:Joke.Win32.Viagra. No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\Lokale Einstellungen\Temp\_fixed\com\ephox\editlive\java2\POSTApplet.class infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\Lokale Einstellungen\Temp\_fixed.ZIP infected by "Trojan-Downloader.JAVA.OpenStream.t" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Chaote\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z6XZP9CM\Funnyworld(26-fyd-1-0-#0)[1].exe tagged as not-a-virus:PornWare.Dialer.Generic. No Action Taken.
File C:\Downloads\GoldMinerSetup-dm[1].exe infected by "not-a-virus:AdWare.Trymedia.a" Virus. Action Taken: No Action Taken.
File C:\gendel32.exe tagged as not-a-virus:RiskWare.Tool.Gendel. No Action Taken.
File C:\Programme\C2Media\Setup.exe infected by "TrojanDownloader.WIn32.Swizzor.bt" Virus. Action Taken: No Action Taken.
File C:\Programme\themexp\Themexp.org File\NNEZTA388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\RECYCLER\S-1-5-21-1229272821-688789844-725345543-1004\Dc42.exe tagged as not-a-virus:Simulator.Win16.CardView. No Action Taken.
File C:\System Volume Information\_restore{755543D8-6665-4A9C-A169-59EA164D8212}\RP379\A0100620.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\glo-10348.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken.
File C:\WINDOWS\iGator\Trickler3103_PIC_fs_DMPT.exe infected by "not-a-virus:AdWare.Gator.3103" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Lycos\ss_IGN1_setup.exe infected by "not-a-virus:AdWare.Sidesearch.d" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.

Danke im vorraus :)
__________
Thig àrd-indhe bho gheur-bheach dachadh, dèan sin air an t-sreath dhiamhàir Cheilteach seo. Lean i dho A gu B.

Dieser Beitrag wurde am 11.12.2004 um 13:13 Uhr von GolfII editiert.

11.12.2004, 16:11

Sabina

Ehrenmitglied

Beiträge: 29434

#6 Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

1.) öffne das HijackThis:
2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" .
3.) In dem Fenster bei Dateiname einfügen\reinkopieren:

C:\WINDOWS\glo-10348.exe

4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No"
5.)und füge das Nächste ein.

C:\WINDOWS\iGator\Trickler3103_PIC_fs_DMPT.exe
C:\Programme\themexp\Themexp.org File\TBEZA127Q.exe
C:\Downloads\GoldMinerSetup-dm[1].exe
C:\Programme\C2Media\Setup.exe
C:\gendel32.exe
C:\Programme\themexp\Themexp.org File\NNEZTA388.exe
C:\WINDOWS\Lycos\ss_IGN1_setup.exe

Erst beim letzten klickst du "Yes" und startest den PC neu.

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

dann scanne noch mal mit eScan und berichte
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 11.12.2004 um 16:15 Uhr von Sabina editiert.

15.12.2004, 20:23

brain1st

...neu hier

Beiträge: 2

#7 Kann mir einer von Euch bei meinen Problemen helfen (IE-Startseite fehlt, Werbung poppt auf...Adaware, Spybot, NAV habe ich ohne Erfolg laufen lassen. Hijack-this liefert folgende Daten:

Logfile of HijackThis v1.99.0
Scan saved at 20:15:54, on 15.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe
C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe
C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Microsoft Office 97\Office\OSA.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\pingnet.exe
C:\WINDOWS\system32\odcfg.exe
C:\WINDOWS\system32\getdns.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\JAMESB~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4FD8E31D-E4FB-49A6-85B6-BD285A1843C7} - C:\WINDOWS\system32\rcpie.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe"
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [cnftips] runload32.exe
O4 - HKLM\..\Run: [Serviceprocess] AppMasterCenter.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [SpyElim] abrek.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\Run: [atl_helper] ftbar.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office 97\Office\OSA.EXE
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} -
O18 - Filter: text/html - {1CAD55C7-B306-4358-B58C-35D481C0FBE4} - C:\WINDOWS\system32\rcpie.dll
O18 - Filter: text/plain - {1CAD55C7-B306-4358-B58C-35D481C0FBE4} - C:\WINDOWS\system32\rcpie.dll
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe

Für Hilfe bin ich im voraus dankbar!

16.12.2004, 00:10

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Hallo@brain1st

Deaktivieren Wiederherstellung
«XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

AboutBuster.zip downloaden, einen neuen Ordner anlegen und alle Dateien in diesen Ordner entpacken. AboutBuster starten und updaten. Noch nicht scannen lassen.
www.malwarebytes.biz/AboutBuster.zip

#backdoor.agent.b.removal.tool.(Symantec)-->nicht scannen
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

AdAware downloaden, installieren und updaten. Ebenfalls noch nicht scannen lassen.
http://www.lavasoft.de/support/download/

Lade die killbox:
http://www.bleepingcomputer.com/files/killbox.php
______________________________________________________________

Windows so einstellen, daß alle Dateien angezeigt werden (Systemsteuerung - Ordneroptionen - Ansicht - "Alle Dateien und Ordner anzeigen" aktivieren und "Geschützte Systemdateien ausblenden" deaktivieren).

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg auf dem Desktop speichern.
------------------------------------------------------------------------------------------------------------------

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåÈ²$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„õØÂ´â]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

------------------------------------------------------------------------------------------------------------------------

Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).
http://www.tu-berlin.de/www/software/virus/savemode.shtml

Die Datei fix.reg auf dem Desktop doppelklicken.

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\rcpie.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {4FD8E31D-E4FB-49A6-85B6-BD285A1843C7} - C:\WINDOWS\system32\rcpie.dll
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKLM\..\Run: [cnftips] runload32.exe

O4 - HKCU\..\Run: [SpyElim] abrek.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\Run: [atl_helper] ftbar.exe
O4 - HKCU\..\Run: [Tsa2] C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
O18 - Filter: text/html - {1CAD55C7-B306-4358-B58C-35D481C0FBE4} - C:\WINDOWS\system32\rcpie.dll
O18 - Filter: text/plain - {1CAD55C7-B306-4358-B58C-35D481C0FBE4} - C:\WINDOWS\system32\rcpie.dll

Button "Fix checked"

#Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

scanne mit:
#backdoor.agent.b.removal.tool.(Symantec)

eventuell neustarten (dann wieder in den abgesicherten Modus gehen)

->Löschen/mit der Killbox:
KillBox
geh auf Delete File on Reboot und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\pingnet.exe
C:\WINDOWS\system32\odcfg.exe
C:\WINDOWS\system32\getdns.exe
C:\WINDOWS\system32\systime.exe
C:\PROGRA~1\COMMON~1\tsa\tsm2.exe
C:\WINDOWS\system32\rcpie.dll --->falls es noch da ist
C:\WINDOWS\system32\runload32.exe

C:\WINDOWS\system32\ftbar.exe
oder:
C:\WINDOWS\ftbar.exe
C:\WINDOWS\system32\abrek.exe
oder:
C:\WINDOWS\abrek.exe

C:\WINDOWS\AppMasterCenter.exe
oder:
C:\WINDOWS\system32\AppMasterCenter.exe

PC neustarten und wieder in den abgesicherten Modus

lade rem.zip herunter
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip

2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

danach:

deinstalliere deinen Virenscanner (ist wichtig)
und lade:
#eScan-Trial ->noch nicht scannen, erst im abgesicherten Modus
http://www.mwti.net/antivirus/escan/escandl_antivirus.asp (15-Tage- trial-Freeversion)

gehe in den abgesicherten Modus und scanne .

Dann poste das neue Log vom HijackThis, sowie den txt von rem
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 16.12.2004 um 00:20 Uhr von Sabina editiert.

24.12.2004, 15:45

brain1st

...neu hier

Beiträge: 2

#9 Hallo,
hat ein weilchen gedauert, nun bin ich aber endlich dazugekommen, meinen Rechner gemäß den, übrigens sehr guten "Anleitungen", zu säubern. Zumindest treten seit gestern keine pop-up mehr auf, die Startseite funktioniert auch wieder. eScan brachte 10 Viren zum Vorschein. Gibt es übrigens einen vernünftigen, ggf. kostenlosen Scanner?

Hier das aktuelle Log von HijackThis:

Logfile of HijackThis v1.99.0
Scan saved at 15:42:24, on 24.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe
C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe
C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
C:\Programme\Microsoft Office 97\Office\OSA.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\kavss.exe
C:\PROGRA~1\eScan\SPOOLER.EXE
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinAce\WinAce.exe
C:\DOKUME~1\JAMESB~1\LOKALE~1\Temp\~AceTemp\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - file://C: - (no file)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DiTask.exe] "C:\Programme\Deutsche Telekom\SurfUSB\DiTask.exe"
O4 - HKLM\..\Run: [Divamon.exe] "C:\Programme\Deutsche Telekom\SurfUSB\Divamon.exe"
O4 - HKLM\..\Run: [Eicon TechnologyLAN_DAEMON] C:\Programme\Deutsche Telekom\SurfUSB\watch.exe
O4 - HKLM\..\Run: [CGServer] "C:\Programme\Deutsche Telekom\SurfUSB\cgserver.exe"
O4 - HKLM\..\Run: [Serviceprocess] AppMasterCenter.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe
O4 - HKCU\..\Run: [SpyElim] abrek.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office 97\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NewShortcut4.lnk = C:\Programme\Mindjet\MindManager 5\sys\PDF\GER\W2K\PDFSaver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{234820C3-0156-4406-9416-09F5ED96360E}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A6A7A85-00FE-4B2C-8700-D92403926582}: NameServer = 69.50.166.94,69.31.80.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{234820C3-0156-4406-9416-09F5ED96360E}: NameServer = 69.50.166.94,69.31.80.244
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: eScan Server-Updater - MWTI2 - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe

und hier das Log von rem:

Files Found.................
----------------------------------------
clfmon.exe
subsys.exe
rsn.exe
dnsping.exe
msinfo.exe
netssh.exe
syspack.dll
odbcfg32.dll
p2pserv.dll

Files Not deleted.................
----------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"netcfg.dll"=""
"odbcfg32.dll"=""
"p2pserv.dll"=""
"clfmon.exe"=""
"netssh.exe"=""
"syspack.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"taskrun.exe"=""
"trayinfo.exe"=""
"subsys.exe"=""
"spoolsvc.exe"=""
"smlogvcc.exe"=""
"sessngr.exe"=""
"rsvxp.exe"=""
"rsn.exe"=""
"rexecs.exe"=""
"resrvc32.exe"=""
"rcip.exe"=""
"proxyconf.exe"=""
"powerconf.exe"=""
"pingnet.exe"=""
"dnsping.exe"=""
"odcfg.exe"=""
"netstart.exe"=""
"netdns.exe"=""
"getdns.exe"=""
"msswchxp.exe"=""
"msng.exe"=""
"msinfo.exe"=""
"netssl.exe"=""
"netdetect.exe"=""
"sfcver.exe"=""
"clfmon.exe"=""
"netssh.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{E9590744-812B-46C3-96EB-33212855927D}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"clfmon.exe"=""
"netssh.exe"=""
"sessngr.exe"=""
"spoolsvc.exe"=""

Other bad files to be Manually deleted.. Please note that this might also list legit Files, be careful while deleting
-----------------------------------------------------------------
msi.dll
Finished

Hoffe es sieht jetzt alles besser aus.
Freue mich auf eine Antwort und nicht zu vergessen: Frohe Weihnachten!

Brain1st

25.12.2004, 15:39

Sabina

Ehrenmitglied

Beiträge: 29434

#10 Hallo@brain1st

der PC ist leider noch nicht sauber...da gibt es noch so einiges.

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.dhs.org/

AppMasterCenter.exe -->poste mir, was die Ueberpruefung ergeben hat, bitte

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - file://C: - (no file)

O4 - HKLM\..\Run: [Serviceprocess] AppMasterCenter.exe ???????was ist das ????
Wenn du es nicht kennst und nicht benoetigst, fixe es !!!!

O4 - HKLM\..\Run: [clfmon.exe] clfmon.exe --unbedingt fixen (!)
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\system32\systime.exe-->unbedingt fixen (!)

PC neustarten

KillBox
http://www.bleepingcomputer.com/files/killbox.php
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\systime.exe
C:\WINDOWS\system32\clfmon.exe

PC neustarten
wieder in den abgesicherten Modus:

scanne noch mal mit eScan.
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

#ClaerProg..lade die neuste Version <1.4.0 Final
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs
- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera
http://www.clearprog.de/downloads.php

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

NOCH EINMAL:
Rem.zip http://users.pandora.be/bluepatchy/www/rem.zip

2) entpacke es im verzeichnis C:\WINDOWS\System32\
(es ist wichtig, dass es in diesem verzeichnis ist!)
3) starte den rechner im abgesicherten modus.
http://www.tu-berlin.de/www/software/virus/savemode.shtml
4) starte die datei rem.bat, scannen lassen.
5) starte den rechner anschließend im normalen modus.
6) unter C:\ sollte nun eine datei namens log.txt zu finden sein.
7) markiere den inhalt und füge ihn hier ein.

Dann poste alle Infos (Logs) und das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

Dieser Beitrag wurde am 25.12.2004 um 15:45 Uhr von Sabina editiert.

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1