wie entfernt man w32.spybot.worm?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
20.03.2005, 00:14
Ehrenmitglied
Beiträge: 29434 |
||
|
||
20.03.2005, 01:58
...neu hier
Beiträge: 4 |
#137
Hallo @Sabina
Hier das Ergebniss von tds-3 das Programm hat was gefunden: Scan Control Dumped @ 01:55:06 20-03-05 Positive identification: Riskware.Tool.Destart File: c:\windows\system32\tools\restart.exe |
|
|
||
20.03.2005, 11:28
Ehrenmitglied
Beiträge: 29434 |
#138
Hallo@Bobi
Der Trojaner Webus.D hat einen Mutex: "3586E64A-W323-121E-BFC6-083C2BF2S511", to ensure that only one instance of the Trojan is running on the compromised system. Leider hat das Tool ihn nicht angezeigt. Also musst du weiter suchen..... •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten modus und scanne dort !!! -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen--> •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein und nun alles rauskopieren, was angezeigt wird--> http://security.symantec.com/default.asp? http://housecall.trendmicro.com/ http://www.pandasoftware.com/activescan/ berichte von den Onlinescanns und poste das neue Log vom HijackTHis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2005, 12:06
...neu hier
Beiträge: 4 |
#139
Hallo Sabina
Hab den unteren Text geschrieben bevor ich dein geändertes posting gelesen habe. Heisst das dieser Wurm ist noch immer auf meinem Rechner ? Ich werde jetzt die Schritte durchgehen die Du oben geschrieben hast ********************************************************* Hallo @Sabina Zuerst mal vielen Dank für Deine Hilfe ..... Ich habe heute früh die Datei File: c:\windows\system32\tools\restart.exe gelöscht. Seid dem wird nichts mehr angezeigt, habe meinen Norton drübergelassen und die Onlinescans, es wurde nichts mehr erkannt. Hier meine LogFiles: Logfile of HijackThis v1.99.1 Scan saved at 12:01:41, on 20.03.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explore r v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\Programme\Trojancheck 6\tcguard.exe C:\WINDOWS\System32\ctfmon.exe C:\Dokumente und Einstellungen\R&C-Trading\Eigene Dateien\Programme\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ist in den LogFiles noch was zu erkennen ? Sabina, welche Software könnte ich noch installieren damit der PC in Zukunft sicher bleibt, oder zumindestens die Sicherheit erhöht wird. Danke Dieser Beitrag wurde am 20.03.2005 um 12:15 Uhr von Bobi editiert.
|
|
|
||
20.03.2005, 13:21
Ehrenmitglied
Beiträge: 29434 |
#140
Bobi
Alles noch da: Gehe in die Registry Start<Ausfuehren<regedit bearbeiten--> suchen--> userinit32.exe loesche mit rechtsklick: userinit32.exe , was du findest, aber nur das, nichts anderes (!) zum Beispiel: [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = loesche diesesn Eintrag mit rechtsklick:"C:\Windows\system32\userinit32.exe" schliesse die Registry #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68 O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35 NEUstarten loeschen: C:\Windows\System32\userinit32.exe suchen--> ob es das gibt: c:\funny.exe C:\Windows\System32\bsfirst2.log C:\Windows\System32\mmsystem.dll •Beispiel HOSTFILE: öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) -->save Log lösche alles , lasse nur stehen: 127.0.0.1 localhost •Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml •L2mfix Laden Sie L2mfix von hier herunter: http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe • Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. • Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. • Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix • Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. • Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren) oder: durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color] • Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[]. • Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. • Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. • L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! • Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. • Dies stellt die Winlogon Standardeinstellungen wieder her. • Posten Sie einen aktuellen HijackThis Log erneut in Ihren Thread ein. •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten modus und scanne dort !!! -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen--> •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein und nun alles rauskopieren, was angezeigt wird--> ________________________________________________________________- Wird Worm/MSN.Funner ausgeführt, kopiert dieser sich nach \%SystemDIR%\IEXPLORE.EXE \%SystemDIR%\EXPLORE.EXE \%SystemDIR%\userinit32.exe \%WinDIR%\rundll32.exe c:\funny.exe und erstellt eine LOG Datei unter \%System%DIR\bsfirst2.log Worm/MSN.Funner legt folgende Registry Einträge an: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ WindowsNT\CurrentVersion\Winlogon\ "Userinit"="userinit32.exe," HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\ "MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce\ "MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32" HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\ "MMSystem"="%WinDIR%\rundll32.exe "%SystemDIR%\mmsystem.dll"", RunDll32" Ebenfalls erstellt er folgenden Eintrag in der SYSTEM.INI von Windows an, damit er beim nächsten automatisch Systemstart ausgeführt wird. Shell = %SystemDIR%\explorer.exe Worm/MSN.Funner sendet die im C:\ Root abgelegte Datei FUNNY.EXE an alle im Windows Messenger aufgeführten Kontakte. Der Wurm ist in der Lage von der Webseite www.78p.com ausgewählte Komponenten downzuloaden und nachzuladen. Er fügt folgende Einträge in die Windows Hosts Datei hinzu: http://www.hbedv-antivirus.com/ken/vireninfos/msn_funner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2005, 13:42
...neu hier
Beiträge: 3 |
#141
Hallo Sabina,
es hat nun zwar einige Zeit gedauert deine Anweisungen durchzuführen, hier nun das Ergebnis: Habe eScan durchgeführt, jedoch anschließend die mwav.txt nirgendswo gefunden. Anstatt dessen habe ich aus dem scan alle infected rauskopiert und diese mit der killbox gelöscht. Diese waren: Thu Mar 17 20:23:21 2005 => File C:\WINDOWS\system32\syshost.exe infected by "Exploit.Win32.DCom.dt" Virus. Action Taken: No Action Taken. Thu Mar 17 20:39:28 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\15793C7A.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\16C46389.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\4AD73200.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:25 2005 => File D:\Programme\Navnt\Quarantine\62633CF4.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\6327141C.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\6337660A.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\637259C9.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:26 2005 => File D:\Programme\Navnt\Quarantine\63C71D6C.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:13:27 2005 => File D:\Programme\Navnt\Quarantine\669C064E.exe infected by "Net-Worm.Win32.Dedler.o" Virus. Action Taken: No Action Taken. Thu Mar 17 21:16:38 2005 => File D:\Software\gozilla.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Thu Mar 17 21:45:59 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45A\GETRIGHT_45A.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. Thu Mar 17 21:46:03 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45B\GETRT45B.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. Thu Mar 17 21:46:08 2005 => File E:\Programme\GETRIGHT_45\GETRIGHT_45C\GETRT45C.EXE infected by "not-a-virus:AdWare.Gator.1050" Virus. Action Taken: No Action Taken. Thu Mar 17 22:21:31 2005 => ***** Scanning complete. ***** Thu Mar 17 22:21:31 2005 => Total Files Scanned: 70984 Thu Mar 17 22:21:31 2005 => Total Virus(es) Found: 16 Thu Mar 17 22:21:31 2005 => Total Disinfected Files: 0 Thu Mar 17 22:21:31 2005 => Total Files Renamed: 0 Thu Mar 17 22:21:31 2005 => Total Deleted Files: 0 Thu Mar 17 22:21:31 2005 => Total Errors: 41 Thu Mar 17 22:21:31 2005 => Time Elapsed: 01:56:19 Thu Mar 17 22:21:31 2005 => Virus Database Date: 2005/03/11 Thu Mar 17 22:21:31 2005 => Virus Database Count: 121166 Thu Mar 17 22:21:31 2005 => Scan Completed. Anschließend habe ich wie Du beschrieben hast, versucht, online-scans durchzuführen. Mit meinem Modem war dies jedoch fast nicht möglich. Zudem wurde der Computer 2-mal automatisch heruntergefahren und neu gestartet. Diesen Vorgang konnte ich auch nicht unterbinden. Nach 3 Stunden gab ich auf. Während den 3 Stunden kam von meiner firewall 2 mal die Meldung, dass eine Windows-Teilkomponente versucht auf das Internet zuzugreifen. Dies habe ich auf Empfehlung meiner firewall zugelassen. Anschließend updatete ich Norton und Antivir. Antivir hat dann auch gleich folgende Viren gefunden: syshost.exe und Micro-128(C)-Virus Beide wurden von Antivir im abgesicherten Modus entfernt. Der Norton scan hat nichts mehr gefunden. Als ich den Rechner nun neu gestartet und versucht habe eScan nochmals upzudaten erkennt doch Norton schon wieder den w32.spybot.worm und kann Ihn nicht löschen. Habe dann mit e-Scan nochmals gescannt und bekam folgende Meldung: File C:\WINDOWS\system32\syshost.exe infected by "Exploit.Win32.DCom.dt" Virus. Action Taken: No Action Taken. File E:\Programme\DivXPro5GAINBundle.rar tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File E:\Programme\vnc-3.3.6-x86_win32.zip tagged as not-a-virus:RiskWare.RemoteAdmin.WinVNC-based.c. No Action Taken. Anschließend habe ich wieder syshot.exe mit der killbox gelöscht und mit hijack das logfile generiert: Logfile of HijackThis v1.99.1 Scan saved at 12:12:05, on 20.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE D:\PROGRA~1\Navnt\navapsvc.exe D:\Programme\Norton Personal Firewall\NISUM.EXE D:\PROGRA~1\Navnt\npssvc.exe C:\WINDOWS\System32\svchost.exe D:\Programme\Norton Personal Firewall\SymProxySvc.exe D:\Programme\Norton Personal Firewall\NISSERV.EXE D:\PROGRA~1\Navnt\alertsvc.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe D:\Programme\Winamp\Winampa.exe C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe D:\Programme\Real\RealPlayer\RealPlay.exe D:\Programme\Norton Personal Firewall\IAMAPP.EXE C:\Programme\Messenger\msmsgs.exe D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe D:\Programme\Navnt\navapw32.exe D:\Programme\Norton Personal Firewall\ATRACK.EXE D:\Programme\WinRAR\WinRAR.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\DOKUME~1\Kristina\LOKALE~1\Temp\Rar$EX87.433\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/ O1 - Hosts: 72.36.130.226 ibank.barclays.co.uk O1 - Hosts: 72.36.130.226 online-business.lloydstsb.co.uk O1 - Hosts: 72.36.130.226 online.lloydstsb.co.uk O1 - Hosts: 72.36.130.226 www.halifax-online.co.uk O1 - Hosts: 72.36.130.226 www.ukpersonal.hsbc.co.uk O1 - Hosts: 72.36.130.226 www.nwolb.com O1 - Hosts: 72.36.130.226 banesnet.banesto.es O1 - Hosts: 72.36.130.226 extranet.banesto.es O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Gemeinsame Dateien\FotoNation\EvLstnr.exe O4 - HKLM\..\Run: [RealTray] D:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE O4 - HKLM\..\Run: [NPS Event Checker] D:\PROGRA~1\Navnt\npscheck.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = ? O4 - Global Startup: Norton AntiVirus AutoProtect.lnk = D:\Programme\Navnt\navapw32.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4C143B4A-AAB0-46F4-99B3-9C62C30F4BEE}: NameServer = 195.71.231.99 193.189.244.205 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NAV Alert - Symantec Corporation - D:\PROGRA~1\Navnt\alertsvc.exe O23 - Service: NAV Auto-Protect - Symantec Corporation - D:\PROGRA~1\Navnt\navapsvc.exe O23 - Service: Norton Personal Firewall Service (NISSERV) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISSERV.EXE O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE O23 - Service: Norton Program Scheduler - Symantec Corporation - D:\PROGRA~1\Navnt\npssvc.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Norton Personal Firewall Proxy Service (SymProxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\SymProxySvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Bis jetzt bekomme ich noch keine Meldung von Norton, warte jedoch darauf, dass dies wieder passiert. Was soll ich nun machen? Ist es am besten, den kompletten Rechner neu zu installieren ? (darauf habe ich eigentlich keine Lust) |
|
|
||
20.03.2005, 13:57
Ehrenmitglied
Beiträge: 29434 |
#142
sigi73
öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost W32.Francette.Worm W32.Francette.Worm is a worm that exploits the DCOM RPC vulnerability (described in Microsoft Security Bulletin MS03-026) using TCP port 135, as well as the Microsoft IIS Web Server Folder Traversal vulnerability (described in Microsoft Security Bulletin MS00-078). The existence of the file syshost.exe is an indication of a possible infection. http://securityresponse.symantec.com/avcenter/venc/data/w32.francette.worm.html Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen http://www.firewallleaktester.com/wwdc.htm DCOM--> schliessen Laden Sie die Trial Version von tds-3 anti trojan von hier runter: http://www.diamondcs.com.au/tds/downloads/tds3setup.exe tds-3 anti trojan. Installieren Sie es, aber starten Sie es noch nicht. #Machen Sie ein Update. http://www.diamondcs.com.au/tds/radius.td3 #Um das Update durchzuführen --> [Rechts-klick] --> speichern unter speichern Sie es in den Zielpfad in dem Sie tds-3 zuvor installiert haben. Uppdate radius.td3 (Die vorherige Datei radius.td3.wird so ueberschrieben ) #Starten Sie dann tds-3. In dem oberstem Balkem im tds Fenster, klicken Sie auf System testing --> full system scan #Eventuelle Malware werden in dem unteren Abschnitt des tds Fensters erscheinen. Wenn der Scan beendet wurde (es wird eine Weile dauern), [Rechts-klick] auf der Liste und speichern Sie es alst *.txt Datei (Text Datei). #Posten Sie den Inhalt der scandump.txt Datei in Ihrem begonnenen Thread mit post reply. ____________________________________________________________________ Gehe in die Rgistry Start<Ausfuehren<<regedit bearbeiten--> suchen--> syshost.exe loesche alle Eintraege mit rechtsklick, die du dazu findest (aber nur die) schliesse die Registry #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten --> falls es noch vorhanden ist..... O1 - Hosts: 72.36.130.226 ibank.barclays.co.uk O1 - Hosts: 72.36.130.226 online-business.lloydstsb.co.uk O1 - Hosts: 72.36.130.226 online.lloydstsb.co.uk O1 - Hosts: 72.36.130.226 www.halifax-online.co.uk O1 - Hosts: 72.36.130.226 www.ukpersonal.hsbc.co.uk O1 - Hosts: 72.36.130.226 www.nwolb.com O1 - Hosts: 72.36.130.226 banesnet.banesto.es O1 - Hosts: 72.36.130.226 extranet.banesto.es O4 - HKLM\..\Run: [Microsoft IIS] C:\WINDOWS\system32\syshost.exe neustarten öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost •Aktuelle Version der Shareware von F-PROT (DOS) Lade von dieser Seite: http://www.f-prot.com/products/corporate_users/dos/ Entpacke,klicke auf FPROT.EXE -->> wenn sich DOS oeffnet, klicke zweimal <Enter<, bis der Scann beginnt. loesche mit der Killbox: C:\WINDOWS\system32\syshost.exe und was tds-3 angezeigt hat (ich hoffe, das Tool findet den Rootkit) öffne das HijackThis "Do a system scan only"-->Config--> Misc Tools-->Open Hosts file Manager--> delet line(s) lösche alles , lasse nur stehen: 127.0.0.1 localhost dann berichte.... __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
20.03.2005, 17:38
...neu hier
Beiträge: 4 |
#143
Hallo @Sabina
Start<Ausfuehren<regedit bearbeiten--> suchen--> userinit32.exe Konnte michts gefunden werden suchen--> ob es das gibt: c:\funny.exe C:\Windows\System32\bsfirst2.log C:\Windows\System32\mmsystem.dll Es konnten diese 2 Dateien gefunden werden: C:\Windows\System32\mmsystem.dll C:\Windows\System\MMSYSTEM.DDL Online-Scann <f-secure< http://support.f-secure.com/enu/home/ols.shtml Hat das gefunden: C:\WINDOWS\system32\lassa32f.exe Trojan-Proxy.Win32.Agent.cw •eScan-Erkennungstool Hat das gefunden: Sun Mar 20 15:26:02 2005 => File C:\WINDOWS\system32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken. Sun Mar 20 15:08:35 2005 => File C:\WINDOWS\system32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken. Sun Mar 20 14:52:47 2005 => File C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000090.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken. Sun Mar 20 14:52:46 2005 => File C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000089.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken. Sun Mar 20 14:31:54 2005 => File C:\WINDOWS\System32\lassa32f.exe infected by "Trojan-Proxy.Win32.Agent.cw" Virus. Action Taken: No Action Taken. Sabina hat das ganze noch einen Sinn ? Erst war irgend ein w32.spybot.worm drauf dann Trojan.Webus.D und jetzt Trojan-Proxy.Win32.Agent.cw MfG |
|
|
||
20.03.2005, 18:27
Ehrenmitglied
Beiträge: 29434 |
#144
Hallo@Bobi
loesche mit der Killbox: ---------------------------------------------------------------------------------------------------------------------------------------- c:\funny.exe C:\Windows\System32\userinit32.exe C:\Windows\System32\bsfirst2.log C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000089.exe C:\System Volume Information\_restore{DA04842F-F8AD-46A3-9242-8637EF7FC837}\RP2\A0000090.exe C:\Windows\System32\mmsystem.dll C:\Windows\System\MMSYSTEM.DDL C:\WINDOWS\system32\lassa32f.exe neustarten •L2mfix Laden Sie L2mfix von hier herunter: http://bilder.informationsarchiv.net/Nikitas_Tools/l2mfix.exe • Speichern Sie die Datei auf Ihren Desktop und doppel-klicken Sie click l2mfix.exe. • Klicken Sie auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation. • Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix • Doppel-klicken Sie die Datei l2mfix.bat und tippen sie eine 1[/] und drücken Sie [Enter], um Find log laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen. • Kopieren Sie den Inhalt (oder einfach mit der Maus abkopieren) oder: durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden![/color] • Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --> Enter[]. • Drücken Sie eine beliebige Taste um einen Systemneustart einzuleiten. • Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL. • L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen. Kopieren Sie auch diesen hier in den Thread rein (Strg+C & Strg+V). Posten Sie ausserdem einen aktuellen HijackThis Log. WICHTIG: Nutzen Sie nicht Option 2, oder jegliche andere Dateien aus dem l2mfix Ordner, bis Sie dazu aufgefordert werden! • Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter]. • Dies stellt die Winlogon Standardeinstellungen wieder her. • Posten Sie einen aktuellen HijackThis Log erneut in Ihren Thread ein. scanne noch mal mit escan + poste das neue Log vom HijackThis __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 00:00
...neu hier
Beiträge: 6 |
#145
Hallo zusammen, hallo Sabina,
mein PC spinnt auch seit einigen Tagen. Ich hab mittlerweile auch schon wieder alles neu aufgesetzt, aber irgend eine KLeinigkeit scheint immer noch auf meinem rechner vorhanden zu sein, was mich nur Weißglut bringt. Hier mein Log: Logfile of HijackThis v1.99.1 Scan saved at 00:02:43, on 21.03.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Internet Security\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe C:\Programme\PowerDVD\PDVDServ.exe C:\Programme\CpuIdle\cpuidle.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\WINDOWS\system32\WISPTIS.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe C:\Dokumente und Einstellungen\Enrico\Desktop\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Programme\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111098999312 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{52415816-5B11-4C03-B0EF-EDF523FD3FDE}: NameServer = 195.50.140.250 145.253.2.174 O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe DANKE schonmal vorab für die hilfe!! |
|
|
||
21.03.2005, 10:43
Ehrenmitglied
Beiträge: 29434 |
#146
Hallo@enrique
das HijackTHis zeigt nichts an (das will jedoch nichts besagen) •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen gehe in den abgesicherten modus und scanne dort !!! -->mwav.exe oeffnen-->alle Haekchen setzen-->scannen--> •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein und nun alles rauskopieren, was angezeigt wird--> __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
21.03.2005, 22:08
...neu hier
Beiträge: 6 |
#147
So, folgendes hat das ganze ergeben:
Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Mon Mar 21 21:14:12 2005 => Scanning File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll Mon Mar 21 21:14:12 2005 => File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. Scheint doch gar nicht sooo wild zu sein, oder? Folgendes stand im eScan-Virus Log Information-Fenster noch: File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000765.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000766.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000767.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000768.exe infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. File C:\System Volume Information\_restore{9B6D515A-464F-4369-B70C-F503F67B8A6C}\RP9\A0000769.dll infected by "not-a-virus:AdWare.Aureate" Virus. Action Taken: No Action Taken. File C:\WINDOWS\autoload.exe tagged as not-a-virus:Tool.Win32.Autoloader. No Action Taken. Danke mal wieder!! Dieser Beitrag wurde am 21.03.2005 um 22:09 Uhr von enrique editiert.
|
|
|
||
21.03.2005, 23:48
Ehrenmitglied
Beiträge: 29434 |
#148
Hallo@enrique
es reicht, dass du die Systemwiederherstellung deaktivierst, dann wieder aktivieren __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
22.03.2005, 09:16
...neu hier
Beiträge: 3 |
#149
Hallo Sabina,
habe deine Anweisungen zu 80% umsetzen können. Nun komme ich jedoch nicht mehrs ins Internet( sitze gerade an einem anderen Rechner). Denke mal dass das Problem an dem löschen aller Einträge mit HijackThis im file Manager zusammenhängt. Bei mir gab es den Eintrag 127.0.0.1 localhost gar nicht. Habe demzufolge alles was dort stand gelöscht. Ich kann mich nun zwar noch mit dem smartsurfer ins Internet einwählen, jedoch gibt mir mein firefox ständig folgende Meldung: Beim Versuch ..... zu kontaktieren, wurde die Verbindung zurückgesetzt. Was soll ich machen? Habe nun alle Datei |
|
|
||
22.03.2005, 10:36
Ehrenmitglied
Beiträge: 29434 |
#150
Hallo@sigi73
# Zusätzliche Kommentare (so wie in dieser Datei) können in # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden, # aber müssen mit dem Zeichen '#' eingegeben werden. # # Zum Beispiel: # # 10.54.9x.97 rhino.acme.com # Quellserver # 38.2x.6.10 x.acme.com # x-Clienthost 127.0.0.1 localhost das darf man nicht loeschen ! Gehe auf "Config"-->Backups--> restore (im HijackThis) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Trojan.Webus.D
Opens a backdoor by connecting to one of the following predefined IRC servers on TCP port 1088:
* serv.gigaset.org
* gimp.robobot.org
#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten
F2 - REG:system.ini: UserInit=userinit.exe,userinit32.exe
O4 - HKLM\..\Run: [.mscdsr] C:\WINDOWS\system\lsvchost.exe
<--Trojan.Webus.D
O17 - HKLM\System\CCS\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{2A424F32-C9FE-499C-A339-B82A11438125}: NameServer = 195.3.96.67 195.3.96.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B89786E-F34B-4454-94B2-B7C352A8EFDA}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1650842-12A5-4267-9788-20BC0C65FE6D}: NameServer = 195.3.96.67,195.3.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS2\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
O17 - HKLM\System\CS3\Services\Tcpip\..\{22BB6C33-6A21-472F-AA7C-34222D53999E}: NameServer = 213.182.224.30,213.182.224.35
PC neustarten
•KillBox
http://www.bleepingcomputer.com/files/killbox.php
•Delete File on Reboot <--anhaken
und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"
C:\Windows\system32\dllhost32.exe
C:\WINDOWS\system\lsvchost.exe
C:\WINDOWS\System32\userinit32.exe
PC neustarten
download the trial version of tds-3 anti trojan from here:
http://www.diamondcs.com.au/tds/downloads/tds3setup.exe
install it, but do not launch it yet
update it: right click the link below, select "save as"
http://www.diamondcs.com.au/tds/radius.td3
save it to the directory where you installed tds-3, overwriting the previous radius.td3.
then launch tds-3. in the top bar of tds window click system testing> full system scan.
detections will appear in the lower pane of tds window. after the scan is finished ( it'll take a while ) right click the list> select save as txt. save it and post the contents of the scandump.txt here
__________
MfG Sabina
rund um die PC-Sicherheit