Hijacker VX 2 kann nicht gelöscht werden. |
||
---|---|---|
#0
| ||
09.02.2005, 21:10
Member
Beiträge: 1132 |
||
|
||
09.02.2005, 21:17
Moderator
Beiträge: 7805 |
#47
Bitte nicht loeschen:
C:\WINDOWS\SYSTEM32\cdplay~1.man C:\WINDOWS\SYSTEM32\logonu~1.man C:\WINDOWS\SYSTEM32\ncpacp~1.man C:\WINDOWS\SYSTEM32\nwccpl~1.man C:\WINDOWS\SYSTEM32\sapicp~1.man C:\WINDOWS\SYSTEM32\window~1.man C:\WINDOWS\SYSTEM32\wuaucp~1.man Diese Datei umbenennen: C:\WINDOWS\SYSTEM32\kgygaavl.sys hier testen http://virusscan.jotti.org/ oder an vrus@rokop-security.de schicken, wenn es keine Infos bei Jotti zu der Datei gibt. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
12.02.2005, 09:23
Member
Themenstarter Beiträge: 26 |
#48
Hi!
hab alles so gemacht, wie ihr gesagt habt. Escan hat nichts mehr gefunden: Log Fri Feb 11 22:44:14 2005 => ***** Scanning complete. ***** Fri Feb 11 22:44:14 2005 => Total Files Scanned: 111906 Fri Feb 11 22:44:14 2005 => Total Virus(es) Found: 0 Fri Feb 11 22:44:14 2005 => Total Disinfected Files: 0 Fri Feb 11 22:44:14 2005 => Total Files Renamed: 0 Fri Feb 11 22:44:14 2005 => Total Deleted Files: 0 Fri Feb 11 22:44:14 2005 => Total Errors: 7 Fri Feb 11 22:44:14 2005 => Time Elapsed: 03:20:42 Fri Feb 11 22:44:14 2005 => Virus Database Date: 2005/02/10 Fri Feb 11 22:44:14 2005 => Virus Database Count: 117864 Fri Feb 11 22:44:14 2005 => Scan Completed. Fri Feb 11 22:48:36 2005 => Virus Database Date: 2005/02/10 Fri Feb 11 22:48:36 2005 => Virus Database Count: 117864 Fri Feb 11 22:48:42 2005 => AV Library Unloaded (3)... Hijackthis sagt folgendes: Logfile of HijackThis v1.99.0 Scan saved at 09:16:13, on 12.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Stardock\Object Desktop\WindowBlinds\wbload.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\Microsoft Works\MSWorks.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Bijan Benjamin\Eigene Dateien\Programme\hijackthis199\HijackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [BootSkin Startup Jobs] "C:\Programme\Stardock\WinCustomize\BootSkin\BootSkin.exe" /StartupJobs O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106177301295 O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe DLL-Compare Log: * DLLCompare Log version(1.0.0.127) Files Found that Windows does not See or cannot Access *Not everything listed here means you are infected! ________________________________________________ C:\WINDOWS\bootstat.dat Fri 11 Feb 2005 14:58:00 A.S.. 2.048 2,00 K C:\WINDOWS\fŽcher.bmp Sat 18 Aug 2001 13:00:00 A.... 26.680 26,05 K C:\WINDOWS\window~1.man Mon 2 Aug 2004 13:48:56 A..HR 749 0,73 K C:\WINDOWS\winnt.bmp Sat 18 Aug 2001 13:00:00 ..SH. 48.680 47,54 K C:\WINDOWS\winnt256.bmp Sat 18 Aug 2001 13:00:00 ..SH. 48.680 47,54 K ________________________________________________ 236 items found: 151 files (4 H/S), 85 directories (45 H/S). Total of file sizes: 10.269.328 bytes 9,79 M Administrator Account = Wahr AppInit_DLLs value = wbsys.dll (not hidden) --------------------End log--------------------- Das Forbot-Erkennungstool und der Jotti-Onlinescan haben ebnfalls nichts verdächtiges gefunden, genauso wie Norton, das ich auch noch mal aktualisiert habe. Ist jetzt etwa alles ok? Gruß, Bijan |
|
|
||
12.02.2005, 09:59
Member
Beiträge: 1132 |
#49
Das Log sieht gut aus, und wenn eScan nichts mehr gefunden hat, dann scheinst Du es überstanden zu haben.
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 12.02.2005 um 10:00 Uhr von Heron editiert.
|
|
|
||
13.02.2005, 12:58
Member
Themenstarter Beiträge: 26 |
#50
Sollte es etwa die Möglichkeit sein?
Vielen, vielen Dank für Eure Hilfe! Ich werde das Protecus-Board jederzeit weiter empfehlen! Super cool! Vielen Dank Euch, Jungs! Grüße, Bijan |
|
|
||
13.02.2005, 13:38
Member
Beiträge: 1132 |
#51
Nicht vergessen, die Systemwiederherstellung wieder zu aktivieren!
Und immer regelmäßig (mind. einmal im Monat) die Windows-Updates machen. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
03.03.2005, 20:33
...neu hier
Beiträge: 6 |
#52
Ich habe genau die gleichen Probleme wie Bijan...
hab jetzt auch schbon einiges gelesen und probiert. doch es geht einfach nicht weg. - es öffnet sich einfach eine seite im IE namens a-d-a-w-a-r-e - " " blazefind - " " loadingwebsite hier ist mal mein HJT Log... Logfile of HijackThis v1.98.2 Scan saved at 19:41:32, on 03.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\CpuIdlePro\cpuidle.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe d:\Programme\HijackThis.exe O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: http://www.fujitsu-siemens.de O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4 |
|
|
||
03.03.2005, 21:07
Member
Beiträge: 1132 |
#53
Hallo K-MEL,
Fixe mit HJT (Häkchen setzen und "Fix checked" drücken) O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Rechner neu starten Lade Dir herunter Hoster-Tool : http://members.aol.com/toadbee/hoster.zip Programm entpacken, starten und 'Restore Original Hosts' drücken => 'OK' => Exit Program Aktuelles HJT Log erstellen und posten Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 03.03.2005 um 21:08 Uhr von Heron editiert.
|
|
|
||
03.03.2005, 21:10
...neu hier
Beiträge: 6 |
#54
Hätte dazu sagen sollen, das ich mit HJT diese dinger schon im abgesicherten udn im normalen gefixed hatte, sie aber immer wieder gekommen sind. :-( trotzdem probier ich es mal so wie du sagtest..
|
|
|
||
03.03.2005, 21:12
Member
Beiträge: 1132 |
#55
Deaktiviere vor der Aktion die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften)!
Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 03.03.2005 um 21:12 Uhr von Heron editiert.
|
|
|
||
03.03.2005, 21:17
...neu hier
Beiträge: 6 |
#56
Zu spät... :-( habs schon durchgeführt...
aber es "scheint" weg zu sein... ich danke erstmal, vll bin ich auch bald wieder hier.*G* Logfile of HijackThis v1.98.2 Scan saved at 21:14:49, on 03.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\PROGRA~1\ICQ\ICQNet.exe C:\Programme\CpuIdlePro\cpuidle.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe D:\Programme\HijackThis.exe O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: http://www.fujitsu-siemens.de |
|
|
||
03.03.2005, 21:24
Member
Beiträge: 1132 |
#57
Na, klappt doch!
Deaktiviere die Systemwiederherstellung trotzdem, starte den PC neu und aktiviere sie wieder, um sicher zu gehen, dass auch die Malware im "System Volume Information" Ordner gelöscht wurde. Ansonsten hast Du sie wieder drauf wenn Du einmal Dein System wiederherstellst. Ansonsten sieht Dein Log sauber aus. Allerdings hast Du nicht die aktuellste Version von HJT verwendet. Du findest den Link hier im Board. Vielleicht postest Du noch einmal ein Log mit dieser neuesten Version. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
04.03.2005, 10:44
...neu hier
Beiträge: 6 |
#58
Logfile of HijackThis v1.99.1
Scan saved at 10:44:04, on 04.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\System32\GEARSec.exe C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\CpuIdlePro\cpuidle.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\PROGRA~1\ICQ\ICQ.exe C:\Programme\Winamp\winamp.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe C:\Dokumente und Einstellungen\Benni\Lokale Einstellungen\Temp\HijackThis.exe O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [CpuIdle] C:\Programme\CpuIdlePro\cpuidle.exe O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - Startup: Connection through Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC.lnk = ? O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O15 - Trusted Zone: http://www.fujitsu-siemens.de O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4 O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\i442leho1h4c.dll (file missing) O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: V2i Protector - PowerQuest Corporation - C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe |
|
|
||
04.03.2005, 12:28
Member
Beiträge: 1132 |
#59
Kennst Du diesen Eintrag bzw. diese Anwendung?
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\i442leho1h4c.dll wenn nicht => Fixen mit HJT => Rechner neu starten => C:\WINDOWS\system32\i442leho1h4c.dll löschen Ansonsten ist alles o.k. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
04.03.2005, 12:47
...neu hier
Beiträge: 6 |
#60
Nö, kenne ich nicht.
Sehe ich aber erst jetzt durch die neue version... Werds mal raushauen. Aber was ist das O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe und das O17 - HKLM\System\CCS\Services\Tcpip\..\{CFB3DE5B-CBEE-45DB-AAC8-F43C832AD314}: NameServer = 217.146.128.3 217.146.128.4 |
|
|
||
eScan
Du hast nicht alle infizierten Dateien gepostet (nur 5), die Scan-Summary zeigt aber 13 gefundene an! Bitte immer alle Zeilen mit "infected" aus dem Log posten!!!
Deaktiviere die XP-Systemwiederherstellung
Gehe in den abgesicherten Modus von XP
Fixe mit HJT:
O4 - HKCU\..\Run: [Microsoft Windows Update] svcshost.exe
Windows-Explorer öffnen => Extras => Ordneroptionen => Ansicht
und dort das Häkchen bei "Geschütze Systemdateien ausblenden" entfernen und "alle Dateien anzeigen" wählen => OK
Suche mit dem Explorer svcshost.exe
Lösche mit Killbox (wie beschrieben)
svcshost.exe (mit vollständiger Pfadangabe)
C:\!Submit\svphost.exe
C:\WINDOWS\SYSTEM32\cdplay~1.man
C:\WINDOWS\SYSTEM32\kgygaavl.sys
C:\WINDOWS\SYSTEM32\logonu~1.man
C:\WINDOWS\SYSTEM32\ncpacp~1.man
C:\WINDOWS\SYSTEM32\nwccpl~1.man
C:\WINDOWS\SYSTEM32\sapicp~1.man
C:\WINDOWS\SYSTEM32\window~1.man
C:\WINDOWS\SYSTEM32\wuaucp~1.man
Rechner neu starten
Der Forbot-Wurm scheint immer noch aktiv zu sein. Gehe auf
http://www.sophos.de/support/disinfection/forbot.html
und führe auf der Seite den Link
FORBOTGUI
aus (Forbot Reinigungstool)
Mache noch einmal einen Scan mit dem eScan (upgedated) im abgesicherten Modus.
Poste alle "infected" Zeilen aus dem eScan Log und ein aktuelles HJT Log
Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch