Wie beseitige ich den w32.spybot.worm |
||
---|---|---|
#0
| ||
20.12.2004, 00:33
...neu hier
Beiträge: 2 |
||
|
||
20.12.2004, 12:25
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@Martin45654
Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O2 - BHO: SERtoolBar - {71821EC4-3CD6-11D6-AEC6-000102AC7057} - E:\SERSuchtool\SERglobalBrainPE\SERtoolbar.dll O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe O4 - Global Startup: SERglobalBrain Personal Edition - SERiClick.lnk = E:\SERSuchtool\SERglobalBrainPE\winQuick.exe O4 - Global Startup: SERglobalBrain Personal Edition - Start.lnk = E:\SERSuchtool\SERglobalBrainPE\winStart.exe neustarten Gehe in die Registry Start<Ausfuehren<regedit 1. Still in the Registry Editor in the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft>Ole 2. Still in the left panel, change the entry: EnableDCOM = "N" to EnableDCOM = "Y" 3. Still in the Registry Editor in the left panel, double-click the following: HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Control>Lsa 4. Still in the left panel, change the entry: restrictanonymous = "dword:00000001" to restrictanonymous = "dword:00000000" 5. Close Registry Editor. 1.) öffne das HijackThis: 2.) HijackThis starten, den Config Button klicken - MiscTools - "Delete a file on reboot" . 3.) In dem Fenster bei Dateiname einfügen\reinkopieren: E:\SERSuchtool\SERglobalBrainPE\SERtoolbar.dll 4.) wenn dann die Frage kommt, ob neugestartet werden soll (will be deleted by Windows when the system restarts....Do you want to restart your computer now?" )-->>klicke "No" 5.)und füge das Nächste ein. C:\WINDOWS\system32\lssas.exe E:\SERSuchtool\SERglobalBrainPE\winStart.exe E:\SERSuchtool\SERglobalBrainPE\winQuick.exe Erst beim letzten klickst du "Yes" und startest den PC neu. #Trend-Micro (Online) http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #BitDefender Scan www.bitdefender.com/scan/Msie/index.php #McAfee FreeScan (Online) www.mcafee.com/myapps/mfs/default.asp This malware exploits known vulnerabilities in Microsoft Windows. Download and install the following fix patches supplied by Microsoft: http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.XJ * Microsoft Security Bulletin MS02-061 * Microsoft Security Bulletin MS03-007 * Microsoft Security Bulletin MS03-026 * Microsoft Security Bulletin MS04-011 #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php #Internet Explorer 6 Service Pack 1 http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6 deinstalliere: Enigma Software Group\SpyHunter Lade: #Ad-aware SE Personal 1.05 Updated http://fileforum.betanews.com/detail/965718306/1 dan poste das neue Log __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 20.12.2004 um 12:37 Uhr von Sabina editiert.
|
|
|
||
27.12.2004, 23:37
...neu hier
Themenstarter Beiträge: 2 |
#3
Sabina, vielen Dank für die Hilfe! Habe Dein Cook-Book endlich fertig durchgearbeitet und glaube es sieht schon ganz gut aus. Nachfolgend mein neues Log, aber noch drei Fragen:
Wenn alles wieder passt, kann man die Wiederherstellung wieder aktivieren, richtig? Hast Du die SERglobalBrainPE aus Verdacht oder aus schlechter Erfahrung damit deaktiviert (habe diese Software von "PC Professionell-CD")? Das Microsoft Security Bulletin MS02-061 beinhaltet ein SQL Server Service Pack mit 200MB Downloadvolumen - braucht man das ohne Server wirklich? Wie gesagt vielen Dank und ein gutes Neues Jahr, Martin Mein Log: Logfile of HijackThis v1.99.0 Scan saved at 23:24:30, on 27.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\SygatePersonalFirewall\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe E:\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\LTSMMSG.exe C:\Progra~1\Launch Manager\LaunchAp.exe C:\Progra~1\Launch Manager\PowerKey.exe C:\Progra~1\Launch Manager\HotkeyApp.exe C:\Progra~1\Launch Manager\CtrlVol.exe C:\Progra~1\Launch Manager\Wbutton.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\TCM RF Wireless Mouse\cm20.exe E:\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe E:\Java\j2re1.4.2_06\bin\jusched.exe C:\WINDOWS\System32\ctfmon.exe E:\Adobe\Acrobat 6.0\Distillr\acrotray.exe E:\D-Link AirPlus\AirPlus.exe E:\Palm\HOTSYNC.EXE E:\WinZip\WZQKPICK.EXE E:\iPod\bin\iPodService.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\logonui.exe E:\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - E:\FreshDownload\fdcatch.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - E:\WS_FTP Pro\wsbho2K0.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] LaunApp O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe" O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\TCM RF Wireless Mouse\cm20.exe O4 - HKLM\..\Run: [iTunesHelper] E:\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Startup: DataKeeper.lnk = E:\DataKeeper 5.0\DataKeeper.exe O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: D-Link AirPlus.lnk = ? O4 - Global Startup: HotSync Manager.lnk = E:\Palm\HOTSYNC.EXE O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000 O15 - Trusted Zone: www.ebay.at O15 - Trusted Zone: *.ebay.de O15 - Trusted Zone: *.gmx.at O15 - Trusted Zone: *.gmx.de O15 - Trusted Zone: *.gmx.net O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103696222014 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4415/mcfscan.cab O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: iPod Service - Apple Computer, Inc. - E:\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - E:\SygatePersonalFirewall\smc.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: V2i Protector - PowerQuest Corporation - E:\Drive Image 7.0\Agent\PQV2iSvc.exe |
|
|
||
27.12.2004, 23:47
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@Martin45654
Gute Arbeit Natuerlich sollst du nicht alles laden, was MS da so anbietet. Lade nur die CriticalUpdates, also SP2 __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.12.2004 um 23:48 Uhr von Sabina editiert.
|
|
|
||
06.01.2005, 11:25
...neu hier
Beiträge: 5 |
#5
Hallo zusammen,
ich habe das selbe Problem wie Martin, ich habe das auch mit der HijackThis gemacht s.u., ich muß aber sagen das ich von diesen sachen nicht viel verstehe und hoffe das man mir genau erklären kann was ich nun machen muß. Ich danke euch schon mal im Voraus! Gruß Jule Logfile of HijackThis v1.99.0 Scan saved at 11:13:06, on 06.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\lssas.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System32\SystemReg16.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\Internet Explorer\iexplore.exe C:\DOKUME~1\Trinchen\LOKALE~1\Temp\Rar$EX00.786\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teleos-web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.teleos-web.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Teleos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [RSPC Driver] jpkc.exe O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [RSPC Driver] jpkc.exe O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.teleos-web.de O17 - HKLM\System\CCS\Services\Tcpip\..\{634D4350-A241-4CD0-80DF-81F4823AB486}: NameServer = 212.62.64.34 212.62.68.34 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
|
||
06.01.2005, 13:22
Ehrenmitglied
Beiträge: 29434 |
#6
Hallo@jule_112
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Deaktivieren Wiederherstellung «XP http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924 eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp erstelle den Ordner c:\bases mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen Lade die Killbox: http://www.bleepingcomputer.com/files/killbox.php -------------------------------------------------------------------------------------- gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" O4 - HKLM\..\Run: [RSPC Driver] jpkc.exe O4 - HKLM\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe -->Backdoor.Win32.Rbot.gen O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe O4 - HKLM\..\RunServices: [RSPC Driver] jpkc.exe O4 - HKLM\..\RunServices: [Registry System16 Checkup Monitor] SystemReg16.exe O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe O4 - HKCU\..\Run: [Registry System16 Checkup Monitor] SystemReg16.exe O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe Kennen Sie die IP oder die Domäne '212.62.64.34 212.62.68.34' nicht, fixen. O17 - HKLM\System\CCS\Services\Tcpip\..\{634D4350-A241-4CD0-80DF-81F4823AB486}: NameServer = 212.62.64.34 212.62.68.34 -->> Button "Fix checked" LOESCHE UNBEDINGT ALLE Datein: C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lasse nur die index.dat) oeffne die Killbox: <Delete File on Reboot und klick auf das rote Kreuz, wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" es kann sein, dass es einiges nicht gibt: C:\WINDOWS\system32\geym.exe C:\WINDOWS\system32\iwps.exe C:\WINDOWS\system32\rspc.exe C:\!Submit\rspc.exe C:\WINDOWS\system32\TFTP2776 C:\!Submit\TFTP2776 C:\WINDOWS\system32\TFTP972 C:\WINDOWS\System32\lssas.exe C:\WINDOWS\System32\jpkc.exe C:\!Submit\jpkc.exe C:\WINDOWS\System32\SystemReg16.exe PC neustarten--->wieder in den abgesicherten Modus und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory -->und "Scan " klicken. Gehe wieder in den Normalmodus #scanne mit dem Stinger http://vil.nai.com/vil/stinger/ <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open #McAfee FreeScan (Online)-->poste das Scanlog www.mcafee.com/myapps/mfs/default.asp #BitDefender Scan -->poste das Scanlog www.bitdefender.com/scan/Msie/index.php #Trend-Micro (Online)-->poste das Scanlog http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php #Online-Scann <f-secure< -->poste das Scanlog http://support.f-secure.com/enu/home/ols.shtml mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. und ganz unten steht die zusammenfassung, diese auch hier posten + das neue Log vom HijackThis -------------------------------------------------------------------------------- Dienste anzeigen: #Scrolle bis zu Mitte dieser Seite und lade: get_active_services_179.zip --> entpacken --> öffnen --> Active.txt-->es öffnet sich der [Texteditor]--> -->nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" http://computercops.biz/postp237756.html __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.01.2005 um 13:59 Uhr von Sabina editiert.
|
|
|
||
06.01.2005, 17:57
...neu hier
Beiträge: 5 |
||
|
||
08.01.2005, 15:55
...neu hier
Beiträge: 5 |
#8
Hallo Sabina,
ich hatte ein paar probleme, ich habe mwav.exe runtergeladen, bei mir war aber kein kavupd.exe und kein mwav.txt deswegen konnte ich dieses auch nicht mit dem Editor öffnen. Aber die neue HijackThis hab ich, ich hoffe das reicht. Logfile of HijackThis v1.99.0 Scan saved at 15:50:51, on 08.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AGFEO\ISDN Guard\agfguard.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Trinchen\LOKALE~1\Temp\Rar$EX00.346\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.teleos-web.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.teleos-web.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Teleos O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [mwavscan] "C:\DOKUME~1\Trinchen\LOKALE~1\Temp\mwavscan.com" /s O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: ISDN Guard.lnk = C:\Programme\AGFEO\ISDN Guard\agfguard.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.teleos-web.de O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4418/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{634D4350-A241-4CD0-80DF-81F4823AB486}: NameServer = 212.62.64.34 212.62.68.34 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe get_active_services_179.zip : These are the Current Active Services: ANTIVIR SERVICE: AntiVirService C:\Programme\AVPersonal\AVGUARD.EXE WINDOWS AUDIO: AudioSrv C:\WINDOWS\System32\svchost.exe -k netsvcs COMPUTERBROWSER: Browser C:\WINDOWS\System32\svchost.exe -k netsvcs KRYPTOGRAFIEDIENSTE: CryptSvc C:\WINDOWS\system32\svchost.exe -k netsvcs DHCP-CLIENT: Dhcp C:\WINDOWS\System32\svchost.exe -k netsvcs VERWALTUNG LOGISCHER DATENTRÄGER: dmserver C:\WINDOWS\System32\svchost.exe -k netsvcs FEHLERBERICHTERSTATTUNGSDIENST: ERSvc C:\WINDOWS\System32\svchost.exe -k netsvcs COM+-EREIGNISSYSTEM: EventSystem C:\WINDOWS\System32\svchost.exe -k netsvcs KOMPATIBILITÄT FÜR SCHNELLE BENUTZERUMSCHALTUNG: FastUserSwitchingCompatibility C:\WINDOWS\System32\svchost.exe -k netsvcs HILFE UND SUPPORT: helpsvc C:\WINDOWS\System32\svchost.exe -k netsvcs SERVER: lanmanserver C:\WINDOWS\System32\svchost.exe -k netsvcs ARBEITSSTATIONSDIENST: lanmanworkstation C:\WINDOWS\System32\svchost.exe -k netsvcs NACHRICHTENDIENST: Messenger C:\WINDOWS\System32\svchost.exe -k netsvcs NETZWERKVERBINDUNGEN: Netman C:\WINDOWS\System32\svchost.exe -k netsvcs NLA (NETWORK LOCATION AWARENESS): Nla C:\WINDOWS\System32\svchost.exe -k netsvcs VERWALTUNG FÜR AUTOMATISCHE RAS-VERBINDUNG: RasAuto C:\WINDOWS\System32\svchost.exe -k netsvcs RAS-VERBINDUNGSVERWALTUNG: RasMan C:\WINDOWS\System32\svchost.exe -k netsvcs TASKPLANER: Schedule C:\WINDOWS\System32\svchost.exe -k netsvcs SEKUNDÄRE ANMELDUNG: seclogon C:\WINDOWS\System32\svchost.exe -k netsvcs SYSTEMEREIGNISBENACHRICHTIGUNG: SENS C:\WINDOWS\system32\svchost.exe -k netsvcs SHELLHARDWAREERKENNUNG: ShellHWDetection C:\WINDOWS\System32\svchost.exe -k netsvcs TELEFONIE: TapiSrv C:\WINDOWS\System32\svchost.exe -k netsvcs TERMINALDIENSTE: TermService C:\WINDOWS\System32\svchost.exe -k netsvcs DESIGNS: Themes C:\WINDOWS\System32\svchost.exe -k netsvcs ÜBERWACHUNG VERTEILTER VERKNÜPFUNGEN (CLIENT): TrkWks C:\WINDOWS\system32\svchost.exe -k netsvcs UPLOAD-MANAGER: uploadmgr C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS-ZEITGEBER: W32Time C:\WINDOWS\System32\svchost.exe -k netsvcs WINDOWS-VERWALTUNGSINSTRUMENTATION: winmgmt C:\WINDOWS\system32\svchost.exe -k netsvcs SERIENNUMMER DER TRAGBAREN MEDIEN: WmdmPmSp C:\WINDOWS\System32\svchost.exe -k netsvcs AUTOMATISCHE UPDATES: wuauserv C:\WINDOWS\system32\svchost.exe -k netsvcs KONFIGURATIONSFREIE DRAHTLOSE VERBINDUNG: WZCSVC C:\WINDOWS\System32\svchost.exe -k netsvcs ANTIVIR UPDATE: AVWUpSrv "C:\Programme\AVPersonal\AVWUPSRV.EXE" DNS-CLIENT: Dnscache C:\WINDOWS\System32\svchost.exe -k NetworkService EREIGNISPROTOKOLL: Eventlog C:\WINDOWS\system32\services.exe PLUG & PLAY: PlugPlay C:\WINDOWS\system32\services.exe TCP/IP-NETBIOS-HILFSPROGRAMM: LmHosts C:\WINDOWS\System32\svchost.exe -k LocalService REMOTE-REGISTRIERUNG: RemoteRegistry C:\WINDOWS\system32\svchost.exe -k LocalService SSDP-SUCHDIENST: SSDPSRV C:\WINDOWS\System32\svchost.exe -k LocalService WEBCLIENT: WebClient C:\WINDOWS\System32\svchost.exe -k LocalService IPSEC-DIENSTE: PolicyAgent C:\WINDOWS\System32\lsass.exe GESCHÜTZTER SPEICHER: ProtectedStorage C:\WINDOWS\system32\lsass.exe SICHERHEITSKONTENVERWALTUNG: SamSs C:\WINDOWS\system32\lsass.exe REMOTEPROZEDURAUFRUF (RPC): RpcSs C:\WINDOWS\system32\svchost -k rpcss DRUCKWARTESCHLANGE: Spooler C:\WINDOWS\system32\spoolsv.exe TRUEVECTOR INTERNET MONITOR: vsmon C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service |
|
|
||
08.01.2005, 16:30
Ehrenmitglied
Beiträge: 29434 |
#9
Hallo@jule_112
Lade SP1 oder SP2 (falls du eine gueltige XP-cdkey hast) #Patches, Service Packs und Tools (XP) http://www.rz.uni-freiburg.de/pc/sys/winxp/index.php --------------------------------------------------------------------------------------- Start<Ausfuehren< schreib rein: %temp% --> klicke "enter" dort muesstest du eine kavupd.exe finden: anklicken -->updaten (automatisch) dann klicke die : "mwavscan.com" (oder "mwav.exe") finden. das muesste der Scanner von eSCan sein. scanne und suche dann auch die mwav.txt und poste, was angezeigt wird (als infiziert) __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.01.2005 um 16:34 Uhr von Sabina editiert.
|
|
|
||
08.01.2005, 17:23
...neu hier
Beiträge: 5 |
#10
Ich habe den mwav- Editor gefunden, aber mit infected sucht der mir nichts rauß oder ist das falsch was ich da unten habe?
[General] EngineType=1 [Welchia] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCPatch,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RPCTFTPD,"","","" DeleteFile1=%winsysdir%\wins\svchost.exe DeleteFile2=%winsysdir%\wins\Dllhost.exe [LovGate] Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ll_reg,"","","" Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetMeeting\RemoteDesktop(RPC),"","","" Reg3=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Microsoft\NetWork File Wall Services,"","","" Reg4=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows\Management Instrumentation Driver Extension,"","","" DeleteFile1=%winsysdir%\NetServices.exe DeleteFile2=%winsysdir%\RAVMOND.EXE DeleteFile3=%winsysdir%\RAVMOND.EXE DeleteFile4=%winsysdir%\WinGate.exe DeleteFile5=%winsysdir%\WinDriver.exe DeleteFile6=%winsysdir%\WinHelp.exe DeleteFile7=%winsysdir%\winrpc.exe DeleteFile8=%winsysdir%\ily.dll DeleteFile9=%winsysdir%\task.dll DeleteFile10=%winsysdir%\reg.dll DeleteFile11=%winsysdir%\1.dll DeleteFile12=%winsysdir%\win32vxd.dll DeleteFile13=%winsysdir%\kernel66.dll DeleteFile14=%winsysdir%\kernel66.dll DeleteFile15=%winsysdir%\iky668.dll DeleteFile16=%winsysdir%\reg678.dll DeleteFile17=%winsysdir%\task688.dll DeleteFile18=%winsysdir%\111.dll [CodeRed] DeleteFile1=%inetpub%\scripts\root.exe DeleteFile2=%PF%\common~1\system\MSADC\root.exe DeleteFile3=%SYSTEMDIR%explorer.exe Reg1=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\C Reg2=HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\Virtual Roots\D [OpaServ] DeleteFile1=%SYSTEMDIR%\Tmp.ini ; this is Opaserv.M DeleteFile2=%SYSTEMDIR%\MSLICENF.COM DeleteFile3=%SYSTEMDIR%\BOOT.EXE BAT1=Autoexec.bat,MSLICENF BAT2=Autoexec.bat,BOOT.EXE [Sobig.e] DeleteFile1=%winsysdir%\cgtask.exe DeleteFile2=%winsysdir%\mmtask.exe [Winupie] DeleteFile1=%winsysdir%\AxConfig.dll,regsvr32 /s /u AxConfig.dll [Swen] DeleteFile1=%winsysdir%\SWEN*.DAT [JS.Fortnight] DeleteFile1=%PF%\sign.htm DeleteFile2=%PF%\sign.html [Novarg] DeleteFile1=%winsysdir%\shimgapi.dll [Pagabot] Reg1=HKEY_LOCAL_MACHINE\Software\Microsoft\windows\currentversion\run,Cryptographic Service,"","" [Parite.b] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,PINF,"","" [Parite.a] Reg1=HKEY_CURRENT_USER\Software\Microsoft\windows\currentversion\explorer,ZANF,"","" |
|
|
||
08.01.2005, 20:00
Ehrenmitglied
Beiträge: 29434 |
#11
was du gepostet hast.....ist die Logfile von "clrav" ???
----------------------------------------------------------------------------- Die Logdatei heisst mwav.log (escan) -->kopiere raus, wenn was als infiziert angezeigt wird) ----------------------------------------------------------------------------- mache bitte noch ALLE Onlinescanns und poste, ob noch was gefunden wurde. __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 08.01.2005 um 20:22 Uhr von Sabina editiert.
|
|
|
||
06.04.2005, 10:39
...neu hier
Beiträge: 9 |
#12
Hey Hey,
Ich hab mich auch so einen Spybot aufgehalst. Jetzt wollt ich nicht einfach von Euch eine Privat-Lösung. Da hab ich schon mal einiges gelesen und hab den (oder die) virus(sse) (??!?:-) mal mit einer Anleitung von Symantec entfernt. Bin aber, was solche Dinge wie Registry-Key oder Hijack-This angehen, völlig unerfahren. Meine Bitte: Ich hab ein Log-File von Hijack-This, kanns aber nicht interpretieren. Kannst Du oder besser: willst Du das, Sabina?? Hechel, Schwänzel, Hundeblick.... Wie fest bin ich noch verseucht? Will nich alles neu aufsetzen... Danke & liebe Grüsse Anbei das Log: Logfile of HijackThis v1.99.1 Scan saved at 10:00:27, on 06.04.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\WINDOWS\System32\ICO.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\Programme\Apoint\Apntex.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\G DATA PowerPDF\pwrpdfsrv.exe C:\WINDOWS\System32\mscrdm.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\CFusion\cfam\program\ccmgr.exe C:\WINDOWS\System32\winsupdater.exe C:\CFusion\Bin\cfserver.exe C:\CFusion\cfam\Program\dfp.exe C:\CFusion\cfam\Program\wsm.exe C:\CFusion\cfam\Program\wsprobe.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\System32\winsupdater.exe C:\CFusion\Bin\cfexec.exe C:\CFusion\Bin\cfrdsservice.exe C:\CFusion\JRun\bin\JRun.exe C:\CFusion\jrun\bin\jrun.exe C:\CFusion\jre\bin\ntConsoleJava.exe C:\CFusion\jre\bin\ntConsoleJava.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\WTablet\TabUserW.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\CFusion\cfam\bin\CANamingAdapter.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\oijl.exe O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\G DATA PowerPDF\pwrpdfsrv.exe O4 - HKLM\..\Run: [Microsoft Critical Disk Management] mscrdm.exe O4 - HKLM\..\Run: [runs] run.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [runs] run.exe O4 - HKLM\..\RunServices: [Microsoft Critical Disk Management] mscrdm.exe O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [runs] run.exe O4 - HKCU\..\Run: [MicroSoft Window Updater] winsupdater.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ColdFusion Monitoring Service (ClusterCATS Service) - Unknown owner - C:\CFusion\cfam\program\ccmgr.exe O23 - Service: Cold Fusion Application Server - Macromedia Inc. - C:\CFusion\Bin\cfserver.exe O23 - Service: ColdFusion Executive (Cold Fusion Executive) - Macromedia Inc. - C:\CFusion\Bin\cfexec.exe O23 - Service: ColdFusion RDS (Cold Fusion RDS) - Macromedia Inc. - C:\CFusion\Bin\cfrdsservice.exe O23 - Service: ColdFusion Graphing Server - Unknown owner - C:\CFusion\JRun\bin\JRun.exe O23 - Service: ColdFusion Management Repository Server (ColdFusion Management Repository) - Unknown owner - C:\CFusion\jrun\bin\jrun.exe" -jrundir "C:\CFusion\jrun" -nt "ColdFusion Management Repository" "cfam (file missing) O23 - Service: ColdFusion Management Service - Unknown owner - C:\CFusion\cfam\bin\CANamingAdapter.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing) O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing) O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing) O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe ______________________________________________THANX!! |
|
|
||
06.04.2005, 11:03
Ehrenmitglied
Beiträge: 29434 |
#13
Hallo@tapir
Neu aufsetzen ist die vernuenftigere Loesung, der PC ist voellig verseucht...... Kein Wunder....keine WindowsUpdates.... W32/Poebot-A Die Backdoor-Komponente verbindet sich mit einem vordefinierten IRC-Kanal und wartet auf weitere Befehle von einem remoten Anwender. W32/Sdbot.worm=1 [Risk Analyzer] AutoRun=8 NonBrand=10 FileCreated=4 FileCreatedInWinSys=4 CloneThreat=4 RunProcess=4 ; This file is generated by AppHunter ; Please contact support@cyberdefender.com for more details [Summary] Discovered=03/22/2005 19:18:00 ID=F67246004480FFC338486E7C483E4EF9 ID2=108544,14388ACAEF40B130D753494A90F247F4 ID3=107126,FA785C45C0F2D8FE86A339707A93C48E MD5=236A4EB14F333FB65DEBBBCA4F6438F2 Size=108544 Filename=mscrdm.exe Company=N/A Risk=4.4 Virus=Sdbot.worm *** Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe-->W32/Poebot-A O4 - HKLM\..\Run: [Services] C:\WINDOWS\System32\oijl.exe O4 - HKLM\..\Run: [Microsoft Critical Disk Management] mscrdm.exe<--W32/Sdbot.worm=1 O4 - HKLM\..\Run: [runs] run.exe O4 - HKLM\..\Run: [MicroSoft Window Updater] winsupdater.exe O4 - HKLM\..\RunServices: [runs] run.exe O4 - HKLM\..\RunServices: [Microsoft Critical Disk Management] mscrdm.exe O4 - HKLM\..\RunServices: [MicroSoft Window Updater] winsupdater.exe O4 - HKCU\..\Run: [runs] run.exe<-- unidentified WORM or TROJAN! PC neustarten •KillBox http://www.bleepingcomputer.com/files/killbox.php •Delete File on Reboot <--anhaken und klick auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes" C:\WINDOWS\System32\Isass.exe C:\WINDOWS\System32\mscrdm.exe C:\WINDOWS\System32\winsupdater.exe C:\WINDOWS\System32\run.exe C:\WINDOWS\System32\oijl.exe PC neustarten •Stinger http://vil.nai.com/vil/stinger/ <Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS http://www.kaspersky.com/de/removaltools?vtopen=146410248#open •Trend-Micro (Online) http://de.trendmicro-europe.com/consumer/products/housecall_launch.php http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php •Online-Scann (Panda) http://www.pandasoftware.com/activescan/com/activescan_principal.htm •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •BitDefender Scan http://www.bitdefender.de/scan/licence.html www.bitdefender.com/scan/Msie/index.php ------------------------------------------------------------------------- Wie kann ich das Service Pack 2 installieren? Sie können Windows XP Service Pack 2 mit der Funktion Windows Update oder von CD installieren. [A] Installation über Windows Update (Internet) 1. Wählen Sie im Start-Menü den Befehl Windows Update. Sie werden automatisch mit der Internetseite Windows Update verbunden (Internetverbindung vorausgesetzt). 2. Aktivieren Sie Windows XP Servicepack 2 und Updates installieren. Installation von CD 1. Legen Sie die CD mit Service Pack 2 in das CD-Laufwerk Ihres PCs ein. 2. Klicken Sie nach dem Autostart auf Weiter. 3. Lesen Sie aufmerksam die Informationen Was sie wissen sollten, bevor sie mit der Installation beginnen. 4. Starten Sie das Setup, in dem Sie Jetzt installieren klicken. 5. Folgen Sie den weiteren Anweisungen. Am Sichersten ist es, wenn man das SP2 schon von einer CD vor dem Anschluss ans Internet installiert hat. Diese Updates werden regelmässig in PC-Zeitschriften angeboten oder man lädt und brennt sie sich selbst , so dass man sie zur Hand hat, wenn eine Neuinstallation notwendig geworden ist. Außerdem gibt es beim Microsoft-Support auch die Möglichkeit diese CD kostenlos anzufordern und sich zuschicken zu lassen. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
07.04.2005, 09:39
...neu hier
Beiträge: 9 |
#14
Carina Sabina,
Hab mal das SP2 draufgeladen (jemand hat mir mal gesagt, dass viele Programme nicht mehr laufen würden, falls ich SP2 installiere...jetzt liefs ohne SP2 recht verschnupft) Aber eben: mein PC lief und läuft gut. Deswegen wollt ich auch nicht alles neu installieren... (An der Stelle: Ein Riiiiieeeeeeeeeeesendankeschön! Du müsstest eigentlich eine Kontoinfo oder so bereitstellen, dass liebe Leute Deine Dienste honorieren können...) Hab nochmal ein Logfile von Hijack-This erstellt. Bin ich über dem Berg? Muss ich noch ne antibiotische Nachbehandlung machen oder bin ich in die Welt der gesunden PCs entlassen? Sabina, Du bist ....ein Schatz! Greez Logfile of HijackThis v1.99.1 Scan saved at 09:28:29, on 07.04.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\Smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\CFusion\cfam\program\ccmgr.exe C:\CFusion\Bin\cfserver.exe C:\CFusion\cfam\Program\dfp.exe C:\CFusion\cfam\Program\wsm.exe C:\CFusion\cfam\Program\wsprobe.exe C:\CFusion\Bin\cfexec.exe C:\CFusion\Bin\cfrdsservice.exe C:\CFusion\JRun\bin\JRun.exe C:\CFusion\jrun\bin\jrun.exe C:\CFusion\jre\bin\ntConsoleJava.exe C:\CFusion\jre\bin\ntConsoleJava.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\Tablet.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\CFusion\cfam\bin\CANamingAdapter.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\msiexec.exe C:\Programme\Apoint\Apoint.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\ATK0100\Hcontrol.exe C:\WINDOWS\system32\ICO.EXE C:\WINDOWS\System32\ezSP_Px.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Apoint\Apntex.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\sony\vaio power management\SPMgr.exe C:\Programme\sony\vaio update 2\VAIOUpdt.exe C:\Programme\sony\isb utility\ISBMgr.exe C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe C:\Programme\Sony\HotKey Utility\HKWnd.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\Programme\G DATA PowerPDF\pwrpdfsrv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\WTablet\TabUserW.exe \?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe O4 - HKLM\..\Run: [VAIO Update 2] "C:\Programme\sony\vaio update 2\VAIOUpdt.exe" /Stationary O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe O4 - HKLM\..\Run: [Drag'n Drop CD+DVD] C:\Programme\drag'n drop cd+dvd\BinFiles\DragDrop.exe /StartUp O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [pwrpdfprsrv.exe] C:\Programme\G DATA PowerPDF\pwrpdfsrv.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ColdFusion Monitoring Service (ClusterCATS Service) - Unknown owner - C:\CFusion\cfam\program\ccmgr.exe O23 - Service: Cold Fusion Application Server - Macromedia Inc. - C:\CFusion\Bin\cfserver.exe O23 - Service: ColdFusion Executive (Cold Fusion Executive) - Macromedia Inc. - C:\CFusion\Bin\cfexec.exe O23 - Service: ColdFusion RDS (Cold Fusion RDS) - Macromedia Inc. - C:\CFusion\Bin\cfrdsservice.exe O23 - Service: ColdFusion Graphing Server - Unknown owner - C:\CFusion\JRun\bin\JRun.exe O23 - Service: ColdFusion Management Repository Server (ColdFusion Management Repository) - Unknown owner - C:\CFusion\jrun\bin\jrun.exe" -jrundir "C:\CFusion\jrun" -nt "ColdFusion Management Repository" "cfam (file missing) O23 - Service: ColdFusion Management Service - Unknown owner - C:\CFusion\cfam\bin\CANamingAdapter.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\System32\Tablet.exe O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Programme\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing) O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing) O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\vaio media platform\UPnPFramework.exe O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Programme\sony\photo server\appsrv\PhotoAppSrv.exe O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing) O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe |
|
|
||
07.04.2005, 10:55
Ehrenmitglied
Beiträge: 29434 |
#15
Hallo@tapir
Danke fuer das "Dankeschoen", hat mich sehr gefreut. http://virus-protect.org/pay.html mache bitte noch folgendes: How can I try F-Secure BlackLight Rootkit Elimination Technology? A free beta version of F-Secure BlackLight is available for download. The beta is fully featured and works until April 30th 2005. http://www.f-secure.com/blacklight/cure.shtml Graphical user interface version: (Recommended for most users) lade: fsbl.exe Command line version: Lade:fsblc.exe dann poste mir die *log vom SCann. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Habe einige Einträge zum Thema in diesem Forum gelesen aber den Eindruck, dass das Problem immer wo anders liegt.
Mein Norton sagt der Wurm sei in der lsass.exe. Habe bereits versucht im abgesicherten Modus zu starten (durch F8 beim starten) - aber das Notebook macht´s nicht. Wann genau muss man F8 drücken? Gibt´s eine andere Methode?
Während ich das hier schreibe scheint mein Notebook furchtbar aktiv, obwohl es gar nichts zu tun gibt. Der Prozess SMC.exe frisst rund 50% Prozessorleistung - hat das was mit dem Wurm zu tun?
Kann der Kontaktversuch eines Programms bei morfine.iwas2.net damit was zu tun haben? Bekomme in letzter Zeit diese Meldung von meiner Sygate Firewall.
Bitte um Hilfe beim Beseitigen dieses Wurms!!!
Und: Was kann man gegen künftige Verseuchung tun?
Vielen Dank im voraus!!!!!!
Nachfolgend mein HijackThis:
Logfile of HijackThis v1.99.0
Scan saved at 23:27:54, on 19.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\SygatePersonalFirewall\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\LTSMMSG.exe
C:\Progra~1\Launch Manager\LaunchAp.exe
C:\Progra~1\Launch Manager\PowerKey.exe
C:\Progra~1\Launch Manager\HotkeyApp.exe
C:\Progra~1\Launch Manager\CtrlVol.exe
C:\Progra~1\Launch Manager\Wbutton.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\TCM RF Wireless Mouse\cm20.exe
E:\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
E:\Java\j2re1.4.2_06\bin\jusched.exe
E:\iPod\bin\iPodService.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
E:\Palm\HOTSYNC.EXE
E:\SERSuchtool\SERglobalBrainPE\winQuick.exe
E:\SERSuchtool\SERglobalBrainPE\winStart.exe
E:\WinZip\WZQKPICK.EXE
E:\D-Link AirPlus\AirPlus.exe
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.Aon.at
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - E:\FreshDownload\fdcatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - E:\WS_FTP Pro\wsbho2K0.dll
O2 - BHO: SERtoolBar - {71821EC4-3CD6-11D6-AEC6-000102AC7057} - E:\SERSuchtool\SERglobalBrainPE\SERtoolbar.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [LaunchApp] LaunApp
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [LaunchAp] C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] "C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [HotkeyApp] C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] "C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Start RF Wireless Mouse] C:\Programme\TCM RF Wireless Mouse\cm20.exe
O4 - HKLM\..\Run: [iTunesHelper] E:\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - HKLM\..\Run: [SmcService] E:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [SpyHunter] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKLM\..\RunServices: [lssas Monitoring Startup] lssas.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [lssas Monitoring Startup] lssas.exe
O4 - Startup: DataKeeper.lnk = E:\DataKeeper 5.0\DataKeeper.exe
O4 - Global Startup: Acrobat Assistant.lnk = E:\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Link AirPlus.lnk = ?
O4 - Global Startup: HotSync Manager.lnk = E:\Palm\HOTSYNC.EXE
O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: SERglobalBrain Personal Edition - SERiClick.lnk = E:\SERSuchtool\SERglobalBrainPE\winQuick.exe
O4 - Global Startup: SERglobalBrain Personal Edition - Start.lnk = E:\SERSuchtool\SERglobalBrainPE\winStart.exe
O4 - Global Startup: WinZip Quick Pick.lnk = E:\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O15 - Trusted Zone: www.ebay.at
O15 - Trusted Zone: *.ebay.de
O15 - Trusted Zone: *.gmx.at
O15 - Trusted Zone: *.gmx.de
O15 - Trusted Zone: *.gmx.net
O16 - DPF: {31E68DE2-5548-4B23-88F0-C51E6A0F695E} (Microsoft PID Sniffer) - https://support.microsoft.com/OAS/ActiveX/odc.cab
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: iPod Service - Apple Computer, Inc. - E:\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - E:\SygatePersonalFirewall\smc.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: V2i Protector - PowerQuest Corporation - E:\Drive Image 7.0\Agent\PQV2iSvc.exe