TR/Krepper.Y und W32.Netsky |
||
---|---|---|
#0
| ||
26.12.2004, 21:06
Member
Beiträge: 19 |
||
|
||
27.12.2004, 13:10
Ehrenmitglied
Beiträge: 29434 |
#17
Hallo@anegada
Lade: #LSPfix.exe http://www10.brinkster.com/expl0iter/freeatlast/L2M/ts.htm #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://celebs.freepics-r-us.com/index.asp?LID=72069&c=1 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) PC neustarten Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" --> New.net/NEWDOT MediaLoads IncrediMail oeffne -->LSPfix.exe --><"I know what I'm doing" bringe die \newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie. Loesche manuell : C:\Programme\DownloadWare\dw.exe Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start, zeigen auf Programme, zeige auf Zubehör, zeige auf Systemprogramme und klicke anschließend auf Datenträgerbereinigung. #Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k. #Click:Temporäre Dateien, o.k #AdAware (free) http://www.lavasoft.de/support/download/ VOR jedem Scanvorgang das Programm Updaten! waehrend des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein! #ClaerProg..lade die neuste Version <1.4.0 Final http://www.clearprog.de/downloads.php <und saeubere den Browser. Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera: - Cookies - Verlauf - Temporäre Internetfiles (Cache) - die eingetragenen URLs - Autovervollständigen-Einträge in Web-Formularen des IE (bisher nur Win9x/ME) - Download-Listen des Netscape/Opera arbeite das ab: #eScan-Erkennungstool http://www.rokop-security.de/board/index.php?showtopic=3867 mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen : Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten zusammen mit dem neuen Log vom HijackThis #neue Startseite gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein ------------------------------------------------------------------------------------ Tip: (vorsorge) #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.12.2004 um 13:13 Uhr von Sabina editiert.
|
|
|
||
27.12.2004, 15:39
Member
Beiträge: 19 |
#18
Oh je Sabina...
ob ich das alles in die Reihe bekomme ?...ich mach mich gleich an die Arbeit und melde mich dann, falls ich es überstehe .... brauche erst mal einen Kaffee :-) Grüße anegada |
|
|
||
27.12.2004, 23:37
Member
Beiträge: 19 |
#19
Hallo Sanina
puuhh ... das war aber keine schöne Arbeit :-(( ich hoffe, es hat was gebracht. nachfolgend die gewünschten "infect" dateien ( ich mag das Wort jetzt schon nicht mehr sehen, weil ich es sooft kopieren mußte ..lach** Mon Dec 27 20:53:51 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:56 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:53:57 2004 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:11 2004 => File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:22 2004 => File C:\WINDOWS\SYSTEM\cd_htm.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:28 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:28 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\bdesecureinstall.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken. Mon Dec 27 20:55:29 2004 => File C:\WINDOWS\SYSTEM\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:00 2004 => File C:\WINDOWS\SYSTEM\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:11 2004 => File C:\WINDOWS\SYSTEM\cd_htm.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdeinsta25.dll infected by "not-a-virus:AdWare.Altnet.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdeverify.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:17 2004 => File C:\WINDOWS\SYSTEM\bdesecureinstall.exe infected by "not-a-virus:AdWare.Brilliandigital.a" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:18 2004 => File C:\WINDOWS\SYSTEM\BDESac24.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken. Mon Dec 27 20:59:18 2004 => File C:\WINDOWS\SYSTEM\BDESac10.dll infected by "not-a-virus:AdWare.BrilliantDigital.3120" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:26 2004 => File C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:28 2004 => File C:\WINDOWS\wt\wtbgm\wtbgmtt.exe infected by "not-a-virus:AdWare.WildTangent.a" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\Cache\bdedetect1.dll infected by "not-a-virus:AdWare.BrilliantDigital.1007" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\Cache\bdeclean.exe infected by "not-a-virus:AdWare.BrilliantDigital.30170" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\b3dsetup.exe infected by "not-a-virus:AdWare.BrilliantDigital.1100" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:29 2004 => File C:\WINDOWS\BDE\bdeclean.exe infected by "not-a-virus:AdWare.BrilliantDigital.30170" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:30 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall4_94.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:41 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:43 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:43 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:04:44 2004 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:12:59 2004 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Mon Dec 27 21:16:33 2004 => File C:\unzipped\hijackthis199_beta\backups\backup-20041227-192110-532.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Dec 27 21:18:59 2004 => ***** Scanning complete. ***** Mon Dec 27 21:18:59 2004 => Total Files Scanned: 51285 Mon Dec 27 21:18:59 2004 => Total Virus(es) Found: 41 Mon Dec 27 21:18:59 2004 => Total Disinfected Files: 0 Mon Dec 27 21:18:59 2004 => Total Files Renamed: 0 Mon Dec 27 21:18:59 2004 => Total Deleted Files: 0 Mon Dec 27 21:18:59 2004 => Total Errors: 4 Mon Dec 27 21:18:59 2004 => Time Elapsed: 00:26:39 Mon Dec 27 21:18:59 2004 => Virus Database Date: 2004/12/27 Mon Dec 27 21:18:59 2004 => Virus Database Count: 113889 Mon Dec 27 21:18:59 2004 => Scan Completed. Das neue Log von Hijackthis folgt gleich.. |
|
|
||
27.12.2004, 23:50
Member
Beiträge: 19 |
#20
hier ist das 2.Log - bin mal so richtig gespannt, ob ich es richtig gemacht habe und die ekligen grünen "Zappelwanzen" aus eScan nun weg sind :-))))
herzliche Grüße anegada Logfile of HijackThis v1.99.0 Scan saved at 23:43:36, on 27.12.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\EXPLORER.EXE C:\Programme\1&1 Programme\cFos\CFOSDW.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFNDIS.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\LOADQM.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\UNZIPPED\HIJACKTHIS199_BETA\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aldi.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/ F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\cfosdw.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE O4 - HKLM\..\Run: [LoadQM] loadqm.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com |
|
|
||
28.12.2004, 00:17
Ehrenmitglied
Beiträge: 29434 |
#21
Hallo@anegada
oeffne -->LSPfix.exe --><"I know what I'm doing" bringe die \newdotnet6_38.dll von der linken auf die rechte Seite und loesche sie. oeffne die KillBox http://www.bleepingcomputer.com/files/killbox.php http://download.broadbandmedic.com/ geh auf <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\NDNuninstall4_88.exe C:\WINDOWS\NDNuninstall5_20-1.exe C:\WINDOWS\wt\wtupdates\wtbgm\files\1.5.0.134\wtbgmtt.exe usw. usw.. beim letzten startest du neu. dann scanne noch mal mit escan, bis alles sauber bleibt. Surfe nicht mehr mit dem IE #Alternativbrowser zum IE Firefox http://www.mozilla-europe.org/de/ Installation+Konfiguration Firefox http://www.pcwelt.de/know-how/software/103924/index1.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.12.2004 um 00:23 Uhr von Sabina editiert.
|
|
|
||
28.12.2004, 00:23
Member
Beiträge: 19 |
#22
Hallo Sabina,
da freue ich mich aber - werde dann auch mal den Firefox ausprobieren. Also nochmals vielen Dank für Deine Hilfe - ich bin von diesem Forum ganz begeistert - Nun wünsche ich Dir und allen hier einen Guten Rutsch ins Neue Jahr mit hoffentlich nicht mehr so vielen Würmern und anderem Getier... Solong anegada[/img] |
|
|
||
28.12.2004, 00:24
Ehrenmitglied
Beiträge: 29434 |
#23
Zitat Sabina postete __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.12.2004, 00:37
Member
Beiträge: 19 |
#24
hm ... entweder ich bin total überstresst, aber ich hätte schwören können, dass ich eben eine mail mit einem OK erhalten hätte...na ja ...
1) \newdotnet6_38.dll --> gab es nicht ( hatte ich nicht extra geschrieben) 2) Deinstallieren: "Start -> Einstellungen -> Systemsteuerung -> Software" --> New.net/NEWDOT MediaLoads IncrediMail --> gab es auch nicht 3)Loesche manuell : C:\Programme\DownloadWare\dw.exe --> gab es auch nicht das andere mache ich dann morgen ciao anegada |
|
|
||
28.12.2004, 11:29
Member
Beiträge: 19 |
#25
Guten Morgen Sabina,
nun doch noch einige Fragen: 1) - \newdotnet6_38.dll - nicht vorhanden 2) - mit escan immer im aggesicherten modus scannen? Grüße anegada |
|
|
||
28.12.2004, 14:01
Ehrenmitglied
Beiträge: 29434 |
#26
Hallo@anegada
C:\WINDOWS\newdotnet3_36.dll ---> mit Lsp.fix loeschen und alles andere von weiter oben abkopieren und in die Killbox rein. Es stimmt, ich hatte geschrieben : alles o.k., aber dann hab ich gelesen:Taken: No Action Taken. also wurde es vom eScan nur erkannt und muss nun manuell geloescht werden. nach dem Loeschen (manuell oder mit der Killbox) mit eScan im abgesicherten Modus und dann noch mal im Normalmodus scannen...bis alles sauber ist. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.12.2004 um 14:03 Uhr von Sabina editiert.
|
|
|
||
28.12.2004, 14:31
Member
Beiträge: 19 |
#27
Hallo Sabina,
C:\WINDOWS\newdotnet3_36.dll ---> mit Lsp.fix loeschen ??? in Lsp.fix --> "Keep" sind nur 4 Files aufgeführt: rnr20.dll mswsosp.dll msafd.dll rsvpsp.dll dann noch eine andere Frage: soll ich die Systemwiederhestellung vor dem Löschen mit der Killbox deaktivieren? Nicht, dass beim nächsten Start alles wieder drauf ist .. ? |
|
|
||
28.12.2004, 14:44
Ehrenmitglied
Beiträge: 29434 |
#28
ja, die Systemwiederherstellung sollte deaktiviert werden.
suche mal, ob du eine C:\WINDOWS\newdotnet3_36.dll findest. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
28.12.2004, 18:24
Member
Beiträge: 19 |
#29
hallo sabina,
die info kommt leider zu spät - habe jetzt etwa 10 Stunden am pc verbracht und letztlich mühsam rund 63 dateien in die killbox übertragen... nach neustart sind sie alle wieder da ... ich kann ehrlich gesagt nicht mehr .. letzte frage: kann escan bei kauf dies erledigen? traurige grüß anegada |
|
|
||
28.12.2004, 19:19
Member
Beiträge: 19 |
#30
C:\WINDOWS\newdotnet3_36.dll
ist nicht zu finden, obwohl er beim scannen immer angezeigt wird Tue Dec 28 12:44:54 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:44:54 2004 => File C:\WINDOWS\newdotnet3_36.dll infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:44:59 2004 => File C:\WINDOWS\NDNuninstall4_88.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall4_94.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_20-1.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_40.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:00 2004 => File C:\WINDOWS\NDNuninstall5_48.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:01 2004 => File C:\WINDOWS\NDNuninstall5_64.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Tue Dec 28 12:45:01 2004 => File C:\WINDOWS\NDNuninstall6_10.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. usw.....ect..... ................. |
|
|
||
herzlichen Dank für die superschnelle Benachrichtigung - habe o.g Ordner komplett geleert und kopiere nun das Log ein.
P.S
( Beim ersten Scan mit AntiVir wurde übrigens der Trojaner in
C/_Restore/Temp angezeigt - Beim 2.Mal im abgesicherten Modus nach vorheriger Deaktivierung der Systemwiederherst. dann in dieser cab. datei )
herzliche Grüße
anegada
Logfile of HijackThis v1.99.0
Scan saved at 20:57:48, on 26.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\EXPLORER.EXE
C:\Programme\1&1 Programme\cFos\CFOSDW.EXE
C:\PROGRAMME\1&1 PROGRAMME\CFOS\CFNDIS.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT HARDWARE\MOUSE\POINT32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\LOADQM.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\WINZIP\WINZIP32.EXE
C:\WINDOWS\EXPLORER.EXE
C:\UNZIPPED\HIJACKTHIS199_BETA\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.sureseeker.com/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://celebs.freepics-r-us.com/index.asp?LID=72069&c=1
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.sureseeker.com/search.htm
F1 - win.ini: run=C:\PROGRA~1\1&1PRO~1\CFOS\cfosdw.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [D066UUtility] C:\WINDOWS\TWAIN_32\D66U\D066UUTY.EXE
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [MediaLoads Installer] "C:\Programme\DownloadWare\dw.exe" /H
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [TVgenial] C:\PROGRAMME\TVGENIAL\TVGENIAL.EXE -d
O4 - Startup: GMX Clicktionary 2.8.lnk = C:\Programme\Clicktionary\Cleverlearn Clicktionary.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com