[MessengerPlus3] - im Spyware Hilfe von der Protecus Community" />

"Lop.com" infection.--->[MessengerPlus3]

#0
11.04.2005, 15:50
...neu hier

Beiträge: 6
#16 Ich habe das ganze nen bisschen anderst gemacht.... jetzt nach dem neustart sieht mein Log so aus:
Logfile of HijackThis v1.99.0
Scan saved at 15:48:59, on 11.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\-PHILI~1\LOKALE~1\Temp\Rar$EX00.234\HijackThis.exe
C:\DOKUME~1\-PHILI~1\LOKALE~1\Temp\Rar$EX05.437\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: RadClock - Unknown - C:\WINDOWS\system32\RadClock.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Mfg Phil
Seitenanfang Seitenende
11.04.2005, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Hallo@Philipp-_-

egal, wie du es gemacht hast, du hast es gut gemacht ;)

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.04.2005, 16:07
...neu hier

Beiträge: 6
#18 Nix gefunden ;) scheint clean zu sein ;) danke für deine Hilfe.
mFg Philipp
Seitenanfang Seitenende
01.11.2005, 12:18
...neu hier

Beiträge: 2
#19 Hallo,
auch ich habe ein Problem wie die Personen vor mir. Auch ich habe ausversehen die Sponsorensoftware akzeptiert und dann fing das ganze Dilemma an, ich bekamm unten am Bildschirm eine nervende Leiste, die mir immer wieder Werbung andrehen wollte, aber auch unter der Adresseleiste, die ich aber irgendwie wegbekommen habe, aber seitdem öffnen sich dauernd irgendwelche Popups (Werbung von Casinos und unseriösen Partnerbörsen), was extrem nervend ist. Ebenso sind meine Favoriten durcheinander und mit Werbung gespickt. Außerdem kommt nach einiger Zeit wenn ich im Internet bin die Meldung ich solle mein System scannen, es würde sich auffällig verhalten. Na ja, den msn messenger plus! hab ich schon deinstalliert aber das scheint irgendwie überhaupt nicht zu helfen, ich hab ad aware drüber laufen lassen, half aber auch nichts, und mit hijackthis kenne ich mich nicht wirklich aus, um zuwissen was nun der Übeltäter ist. Es wäre echt nett wenn ihr mit helfen könntet!

Ich kopier jetzt mal meinen hijackthis-log hier rein:

Logfile of HijackThis v1.99.1
Scan saved at 12:10:50, on 01.11.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\Dit.exe
C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Detector\CTDetect.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\Filzip\Filzip.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lyxkhfaddqpewcvhlzs.com/THlqATt/Z6wUdg34emJnGzakIcUx87eSUViulJGcQw3XYHwnHdAbeI6pbryXCMrC.cgi
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - C:\Programme\IDM\QUICKfind\PlugIns\IEHelp.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PCMService] C:\Programme\Medion Home CinemaXL\PowerCinema\PCMService.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\FlatBed\HotKey.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [show frag ace bike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG\date hope.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\MsgPlusUninst.bat"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Creative Detector] D:\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O12 - Plugin for .wmv: C:\Programme\Netscape\Communicator\Program\PLUGINS\npdsplay.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\..\{1155BEB9-BE73-4757-9CC1-20170BC0A96A}: NameServer = 217.237.151.97 217.237.150.33
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: SecuROM User Access Service (UserAccess) - Unknown owner - C:\WINDOWS\system32\UAService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Vielen Dank schon mal im Voraus, und ich hoffe ich habe die Regeln beachtet :-)
Seitenanfang Seitenende
01.11.2005, 13:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 Hallo@assunta

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren
+
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren


öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lyxkhfaddqpewcvhlzs.com/THlqATt/Z6wUdg34emJnGzakIcUx87eSUViulJGcQw3XYHwnHdAbeI6pbryXCMrC.cgi
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O4 - HKLM\..\Run: [show frag ace bike] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG\date hope.exe
O4 - HKLM\..\RunOnce: [MessengerPlusUninstall] C:\WINDOWS\system32\cmd.exe /C "C:\DOKUME~1\MARINO~2\LOKALE~1\Temp\MsgPlusUninst.bat"
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll

pc neustarten

deinstallieren
C:\Programme\Desktop Sidebar

loeschen:
C:\Dokumente und Einstellungen\MARINO~2\Lokale Einstellungen\Temp\MsgPlusUninst.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BORE BIB SHOW FRAG

CCleaner
http://www.ccleaner.com/ccdownload.asp
lösche alle temp-Dateien


Conterspy
http://virus-protect.org/counterspy.html
Klicke: "Run a Spyware Scan Now"
- nach dem Scan muss man sich entscheiden für:
*Ignore
*Remove
*Quarantaine
wähle immer Remove und starte den PC neu (dann kopiere den Scanreport ab und ins Sicherheitsforum)

escan
http://virus-protect.org/escan.html

kopiere aus dem Scanreport nur die Eintraege, die betreffen:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
C:\Dokumente und Einstellungen\MARINO~2\Anwendungsdaten
und eventuell noch andere Trojanermeldungen...aber nict alles abkopieren...das wuerde den Rahmen sprengen....

Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:


dir %Windir%\tasks /a h > files.txt
notepad files.txt


- Speichern als: findjobs.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate findjobs.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich -- poste den Text
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.11.2005, 23:17
...neu hier

Beiträge: 2
#21 So ich habe es endlich geschafft. Vielen Dank für die Hilfe, ich hoffe, dass ich alles richtig gemacht habe. Ist gar nicht so einfach, wenn man sich nicht genau auskennt...

Hier erstmal der Scanreport von Conterspy (ich wusste auch nicht so genau was mit Sicherheitsforum gemeint ist, na ja falls das jetzt unwichtig ist, einfach ignorieren)

Spyware Scan Details
Start Date: 02.11.2005 19:39:37
End Date: 02.11.2005 20:38:43
Total Time: 59 mins 6 secs

Detected spyware

Messenger Plus! Adware Bundler more information...
Details: Messenger Plus! is a add-on for MSN Messenger. Messenger Plus! installs an OPTIONAL adware called C2Media which is also known as LOP.com.
Status: Deleted

Infected files detected
c:\programme\messengerplus! 3\resources\msgplusres.dll
c:\programme\messengerplus! 3\msgplus.exe
c:\programme\messengerplus! 3\msgplush.dll
c:\programme\messengerplus! 3\richedhook.dll
c:\programme\messengerplus! 3\msgplusloader.dll


247RealMedia.com Cookie more information...
Status: Deleted

Infected cookies detected
c:\dokumente und einstellungen\marino jane\cookies\marino jane@247realmedia[1].txt


Nun der Scanreport von escan:


--------------------------------------------------
-------------------- INFECTED --------------------
--------------------------------------------------

1: Wed Nov 02 21:15:29 2005 => System found infected with alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
2: Wed Nov 02 21:15:31 2005 => Offending file found: C:\WINDOWS\~glh0001.tmp
3: Wed Nov 02 21:15:31 2005 => System found infected with adroar Spyware/Adware (~glh0001.tmp)! Action taken: No Action Taken.
5: Wed Nov 02 21:15:32 2005 => System found infected with attune Spyware/Adware (lang.dll)! Action taken: No Action Taken.
9: Wed Nov 02 21:15:33 2005 => System found infected with thelocalsearch Spyware/Adware (uninstal.exe)! Action taken: No Action Taken.
12: Wed Nov 02 21:15:35 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
14: Wed Nov 02 21:15:35 2005 => Offending file found: C:\WINDOWS\start.exe
15: Wed Nov 02 21:15:35 2005 => System found infected with cws.smartsearch Spyware/Adware (C:\WINDOWS\start.exe)! Action taken: No Action Taken.
16: Wed Nov 02 21:39:55 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
17: Wed Nov 02 21:39:55 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR
18: Wed Nov 02 21:40:11 2005 => File C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR infected by "Trojan-Downloader.Win32.Swizzor.cb" Virus! Action Taken: No Action Taken.
19: Wed Nov 02 21:40:11 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR
20: Wed Nov 02 21:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR tagged as "not-a-virus:AdWare.Win32.Lop.m". Action Taken: No Action Taken.
21: Wed Nov 02 21:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\DOGPROGRAM.EXE.VIR [**]
22: Wed Nov 02 21:40:12 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\UIRKSGJI.EXE.VIR [**]

--------------------------------------------------
--------------------- TAGGED ---------------------
--------------------------------------------------

1: Wed Nov 02 21:40:12 2005 => File C:\Programme\AVPersonal\INFECTED\A0127178.EXE.VIR tagged as "not-a-virus:AdWare.Win32.Lop.m". Action Taken: No Action Taken.
2: Wed Nov 02 22:11:47 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP538\A0127131.exe tagged as "not-a-virus:AdWare.Win32.Lop". Action Taken: No Action Taken.
3: Wed Nov 02 22:14:29 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130245.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken.
4: Wed Nov 02 22:14:30 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130246.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken.
5: Wed Nov 02 22:14:30 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP554\A0130247.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken.
6: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130252.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken.
7: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130253.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.i". Action Taken: No Action Taken.
8: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130257.dll tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken.
9: Wed Nov 02 22:14:32 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP555\A0130258.exe tagged as "not-a-virus:AdWare.Win32.NavExcel.h". Action Taken: No Action Taken.
10: Wed Nov 02 22:15:00 2005 => File C:\System Volume Information\_restore{FA0CEAAD-9AC9-4161-8426-57672CB9C5D3}\RP556\A0131576.exe tagged as "not-a-virus:AdWare.Win32.Lop.ad". Action Taken: No Action Taken.


--------------------------------------------------
-------- DATEIEN ZUM LÖSCHEN HINZUGEFÜGT ---------
--------------------------------------------------

1: C:\Programme\AVPersonal\INFECTED\A0127175.EXE.VIR => Trojan-Downloader.Win32.Swizzor.cb

--------------------------------------------------
-------------------- Statistik -------------------
--------------------------------------------------

Wed Nov 02 22:50:26 2005 => Total Objects Scanned: 183166
Wed Nov 02 22:50:26 2005 => Total Virus(es) Found: 21
Wed Nov 02 22:50:26 2005 => Total Errors: 76
Wed Nov 02 22:50:26 2005 => Virus Database Date: 2005/11/02
Wed Nov 02 22:50:26 2005 => Virus Database Count: 157833



So, ich hoffe ich hab das richtige weggelöscht, falls nicht, kann ich noch den ganzen bericht reinkopieren.

Und hier zu allerletzt die files.txt (von findjobs.bat)

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: C0F6-F3B6

Verzeichnis von C:\WINDOWS\tasks

08.10.2005 21:08 <DIR> .
08.10.2005 21:08 <DIR> ..
02.11.2005 23:00 278 869403429367B5B6.job
29.08.2002 13:00 65 desktop.ini
02.11.2005 22:57 6 SA.DAT
02.11.2005 19:57 350 Symantec NetDetect.job
4 Datei(en) 699 Bytes

Verzeichnis von C:\Dokumente und Einstellungen\Marino Jane\Desktop


Soll ich noch mal hijackthis drüber laufen lassen?

Vielen Dank!
Seitenanfang Seitenende
02.11.2005, 23:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 mit Sicherheitsforum ist protecus hier gemeint.....

alles unter " INFECTED" sollte man loeschen lassen......
---------------------------------------------------------------------------------------
loesche:
C:\WINDOWS\start.exe
C:\WINDOWS\~glh0001.tmp (hier kenne ich nicht den kompletten Namen...du musst also suchen)


Start -- alle Programme -- Zubehör -- Editor und kopiere folgenden Text rein:

%systemdrive%
cd C:\WINDOWS\Tasks
attrib -r -s -h 869403429367B5B6.job
del 869403429367B5B6.job

- Speichern als: remjob.bat
- abspeichern unter : Dateityp: alle Dateien
- speichere auf dem Desktop
- Locate remjob.bat-- doppelklick auf die bat-Datei , der Editor öffnet sich kurz ist normal

----------------

Deaktivieren Wiederherstellung

«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

dann aktiviere sie wieder
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: