[MessengerPlus3] - im Spyware Hilfe von der Protecus Community" />
"Lop.com" infection.--->[MessengerPlus3] |
||
---|---|---|
#0
| ||
11.04.2005, 15:50
...neu hier
Beiträge: 6 |
||
|
||
11.04.2005, 15:59
Ehrenmitglied
Beiträge: 29434 |
#17
Hallo@Philipp-_-
egal, wie du es gemacht hast, du hast es gut gemacht #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.04.2005, 16:07
...neu hier
Beiträge: 6 |
#18
Nix gefunden scheint clean zu sein danke für deine Hilfe.
mFg Philipp |
|
|
||
01.11.2005, 12:18
...neu hier
Beiträge: 2 |
#19
Hallo,
auch ich habe ein Problem wie die Personen vor mir. Auch ich habe ausversehen die Sponsorensoftware akzeptiert und dann fing das ganze Dilemma an, ich bekamm unten am Bildschirm eine nervende Leiste, die mir immer wieder Werbung andrehen wollte, aber auch unter der Adresseleiste, die ich aber irgendwie wegbekommen habe, aber seitdem öffnen sich dauernd irgendwelche Popups (Werbung von Casinos und unseriösen Partnerbörsen), was extrem nervend ist. Ebenso sind meine Favoriten durcheinander und mit Werbung gespickt. Außerdem kommt nach einiger Zeit wenn ich im Internet bin die Meldung ich solle mein System scannen, es würde sich auffällig verhalten. Na ja, den msn messenger plus! hab ich schon deinstalliert aber das scheint irgendwie überhaupt nicht zu helfen, ich hab ad aware drüber laufen lassen, half aber auch nichts, und mit hijackthis kenne ich mich nicht wirklich aus, um zuwissen was nun der Übeltäter ist. Es wäre echt nett wenn ihr mit helfen könntet! Ich kopier jetzt mal meinen hijackthis-log hier rein: Logfile of HijackThis v1.99.1 Scan saved at 12:10:50, on 01.11.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\cisvc.exe C:\WINDOWS\system32\CTsvcCDA.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\UAService.exe C:\WINDOWS\wanmpsvc.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\htpatch.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\Dit.exe C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe C:\WINDOWS\Twain_32\FlatBed\HotKey.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\PC-Zeit\trap.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\DitExp.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE D:\Detector\CTDetect.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\Programme\Winamp\winamp.exe C:\Programme\Filzip\Filzip.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lyxkhfaddqpewcvhlzs.com/THlqATt/Z6wUdg34emJnGzakIcUx87eSUViulJGcQw3XYHwnHdAbeI6pbryXCMrC.cgi R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/ R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [show frag ace bike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG\date hope.exe O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\MsgPlusUninst.bat" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [Creative Detector] D:\Detector\CTDetect.exe /R O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU) O12 - Plugin for .wmv: C:\Programme\Netscape\Communicator\Program\PLUGINS\npdsplay.dll O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/ O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.97 217.237.150.33 O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.97 217.237.150.33 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Vielen Dank schon mal im Voraus, und ich hoffe ich habe die Regeln beachtet :-) |
|
|
||
01.11.2005, 13:34
Ehrenmitglied
Beiträge: 29434 |
#20
Hallo@assunta
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren + Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lyxkhfaddqpewcvhlzs.com/THlqATt/Z6wUdg34emJnGzakIcUx87eSUViulJGcQw3XYHwnHdAbeI6pbryXCMrC.cgi O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll O4 - HKLM\..\Run: [show frag ace bike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG\date hope.exe O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\MsgPlusUninst.bat" O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll pc neustarten deinstallieren C:\Programme\Desktop Sidebar loeschen: C:\Dokumente und Einstellungen\MARINO~2\Lokale Einstellungen\Temp\MsgPlusUninst.bat C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG CCleaner http://www.ccleaner.com/ccdownload.asp lösche alle temp-Dateien Conterspy http://virus-protect.org/counterspy.html Klicke: "Run a Spyware Scan Now" - nach dem Scan muss man sich entscheiden für: *Ignore *Remove *Quarantaine wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum) escan http://virus-protect.org/escan.html kopiere aus dem Scanreport nur die Eintraege, die betreffen: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten C:\Dokumente und Einstellungen\MARINO~2\Anwendungsdaten und eventuell noch andere Trojanermeldungen...aber nict alles abkopieren...das wuerde den Rahmen sprengen.... Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: dir %Windir%\tasks /a h > files.txt notepad files.txt - Speichern als: findjobs.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
02.11.2005, 23:17
...neu hier
Beiträge: 2 |
#21
So ich habe es endlich geschafft. Vielen Dank für die Hilfe, ich hoffe, dass ich alles richtig gemacht habe. Ist gar nicht so einfach, wenn man sich nicht genau auskennt...
Hier erstmal der Scanreport von Conterspy (ich wusste auch nicht so genau was mit Sicherheitsforum gemeint ist, na ja falls das jetzt unwichtig ist, einfach ignorieren) Spyware Scan Details Start Date: 02.11.2005 19:39:37 End Date: 02.11.2005 20:38:43 Total Time: 59 mins 6 secs Detected spyware Messenger Plus! Adware Bundler more information... Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com. Status: Deleted Infected files detected c:\programme\messengerplus! 3\resources\msgplusres.dll c:\programme\messengerplus! 3\msgplus.exe c:\programme\messengerplus! 3\msgplush.dll c:\programme\messengerplus! 3\richedhook.dll c:\programme\messengerplus! 3\msgplusloader.dll 247RealMedia.com Cookie more information... Status: Deleted Infected cookies detected c:\dokumente und einstellungen\marino jane\cookies\marino jane@247realmedia[1].txt Nun der Scanreport von escan: -------------------------------------------------- -------------------- INFECTED -------------------- -------------------------------------------------- 1: Wed Nov 02 21:15:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken. 2: Wed Nov 02 21:15:31 2005 => Offending file found: C:\WINDOWS\~glh0001.tmp 3: Wed Nov 02 21:15:31 2005 => System found infected with adroar Spyware/Adware (~glh0001.tmp)! Action taken: No Action Taken. 5: Wed Nov 02 21:15:32 2005 => System found infected with attune Spyware/Adware (lang.dll)! Action taken: No Action Taken. 9: Wed Nov 02 21:15:33 2005 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: No Action Taken. 12: Wed Nov 02 21:15:35 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. 14: Wed Nov 02 21:15:35 2005 => Offending file found: C:\WINDOWS\start.exe 15: Wed Nov 02 21:15:35 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\start.exe)! Action taken: No Action Taken. 16: Wed Nov 02 21:39:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* 17: Wed Nov 02 21:39:55 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR 18: Wed Nov 02 21:40:11 2005 => File C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken. 19: Wed Nov 02 21:40:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR 20: Wed Nov 02 21:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR tagged as "not-a-virus:AdWare.Win32.Lop.m". Action Taken: No Action Taken. 21: Wed Nov 02 21:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\DOGPROGRAM.EXE.VIR [**] 22: Wed Nov 02 21:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UIRKSGJI.EXE.VIR [**] -------------------------------------------------- --------------------- TAGGED --------------------- -------------------------------------------------- 1: Wed Nov 02 21:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR tagged as "not-a-virus:AdWare.Win32.Lop.m". Action Taken: No Action Taken. 2: Wed Nov 02 22:11:47 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP538\A0127131.exe tagged as "not-a-virus:AdWare.Win32.Lop". Action Taken: No Action Taken. 3: Wed Nov 02 22:14:29 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130245.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken. 4: Wed Nov 02 22:14:30 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130246.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken. 5: Wed Nov 02 22:14:30 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130247.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken. 6: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130252.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken. 7: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130253.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken. 8: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130257.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken. 9: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130258.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken. 10: Wed Nov 02 22:15:00 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP556\A0131576.exe tagged as "not-a-virus:AdWare.Win32.Lop.ad". Action Taken: No Action Taken. -------------------------------------------------- -------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT --------- -------------------------------------------------- 1: C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR => Trojan-Downloader.Win32.Swizzor.cb -------------------------------------------------- -------------------- Statistik ------------------- -------------------------------------------------- Wed Nov 02 22:50:26 2005 => Total Objects Scanned: 183166 Wed Nov 02 22:50:26 2005 => Total Virus(es) Found: 21 Wed Nov 02 22:50:26 2005 => Total Errors: 76 Wed Nov 02 22:50:26 2005 => Virus Database Date: 2005/11/02 Wed Nov 02 22:50:26 2005 => Virus Database Count: 157833 So, ich hoffe ich hab das richtige weggelöscht, falls nicht, kann ich noch den ganzen bericht reinkopieren. Und hier zu allerletzt die files.txt (von findjobs.bat) Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: C0F6-F3B6 Verzeichnis von C:\WINDOWS\tasks 08.10.2005 21:08 <DIR> . 08.10.2005 21:08 <DIR> .. 02.11.2005 23:00 278 869403429367B5B6.job 29.08.2002 13:00 65 desktop.ini 02.11.2005 22:57 6 SA.DAT 02.11.2005 19:57 350 Symantec NetDetect.job 4 Datei(en) 699 Bytes Verzeichnis von C:\Dokumente und Einstellungen\Marino Jane\Desktop Soll ich noch mal hijackthis drüber laufen lassen? Vielen Dank! |
|
|
||
02.11.2005, 23:22
Ehrenmitglied
Beiträge: 29434 |
#22
mit Sicherheitsforum ist protecus hier gemeint.....
alles unter " INFECTED" sollte man loeschen lassen...... --------------------------------------------------------------------------------------- loesche: C:\WINDOWS\start.exe C:\WINDOWS\~glh0001.tmp (hier kenne ich nicht den kompletten Namen...du musst also suchen) Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein: %systemdrive% cd C:\WINDOWS\Tasks attrib -r -s -h 869403429367B5B6.job del 869403429367B5B6.job - Speichern als: remjob.bat - abspeichern unter : Dateityp: alle Dateien - speichere auf dem Desktop - Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal ---------------- Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 dann aktiviere sie wieder __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Logfile of HijackThis v1.99.0
Scan saved at 15:48:59, on 11.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\-PHILI~1\LOKALE~1\Temp\Rar$EX00.234\HijackThis.exe
C:\DOKUME~1\-PHILI~1\LOKALE~1\Temp\Rar$EX05.437\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Mfg Phil