sspMydoom.cih und Trojaner entfernen!

#1 Hallo an alle Profi Spyware und Trojaner Killer!!!!

Hab folgenden Schei... mir eingefangen:
stand mal in einem kleinen Fensterrahmen sspMydoom.cih ver. 2.018. port 245

-Kann mal jemand bitte sagen was das ist, was kann es alles einrichten??
-Hab folgendes noch festgestellt: Pop Ups kommen unangefordert ab und zu.
-Startseite ist verstellt about blank (statt hiphop.de):-)))

-Bei der Google Suche erscheint nebenan ein weiteres Suchfenster, jedoch von der Spyware (jetz im Moment nicht, da waehrend des Forum Aufenthaltes ich mit eTrust alles durchgescannt habe, vielleicht is es jetzt weg??? Egal war vorher aber auf jeden Fall da).

Hab eTrust als Virusprogramm is es gut?? Was sagt ihr dazu???
Gestern beim durchscannen hat er mir so 248 (wenn ich jetzt nicht luege) Trojaner gefunden und gleichzeitig alles verseuchte angeblich bereinigt, jedoch stelle ich fest die Spyware is nicht weg und Pop Ups lassen mich auch ab und zu wieder gruessen.

Sind die Trojaner weg und Spyware noch da, oder was geht jetzt ab???

Noch was zu IE 6.0, hab naemlich ueber eine Luecke mir den Mist eingefangen, lade mir heute Firefox runter und surfe nur noch mit dem, der ist doch viel besser oder nicht??? Vor allem viel sicherer, verstehe nur nicht wieso diese Penner von Micrsoft den einfach nicht nachkopieren???

Mich interesiert mal noch folgendes: wie, mit was und kann man ueberhaupt eine Seite die man besuchen will, vorher auf Trojaner & Spyware ueberpruefen???
Es wuerde mich sehr freuen, wenn mir mal einer helfen und auch die Fragen beantworten koennte. Lasst uns gemeinsam die Schei... Plage bekaempfen und wieder loswerden!!!

P.S.: Ich weiss, gleich kommt jemand wahrscheinlich mit HiJack fix mir Login und sowas, habe hier im Forum naemlich schon einiges gelesen :-), meist aber nur Bahnhof verstanden. Also bitte nicht vergessen, bin noch leider ein totaler Anfaenger auf dem Gebiet, da ich mich mit so etwas noch nicht beschaeftigt habe :-))

Aber es wuerde uebertight sein, wenn mir mal irgendwie einer hilft!!!

Danke schon mal im voraus und

MFG
SPYKILLER

#2 @ Spykiller

Hallo und so!

Guckst Du mal hier:

http://www.winhilfen.de/wbb2/thread15949.html

Vielleicht werden sie ja hier geholfen!

Gruß - wutzbaer

P.S. Mozilla hat solche Probleme nicht. Außerdem Pop-up-Blocker.
Zudem würde ich mal Spybot S&D drüberlaufen lassen!
Ich benutz als AntivirusProgramm NOD32 - das Beste, was es zur Zeit gibt.
__________
Wer Norton nutzt und damit scannt - der hat den Virus glatt verpennt

#3 @ wutzbauer danke fuer deine Antwort, hat aber leider nicht viel geholfen :-(((

Dort ist so ein Programm zum entfernen, werde es mir heute Abend mal runterladen, kein Plan aber ob es dann alles wegkriegt???

Hoffentlich melden sich noch mehr Freaks hier, zu diesem Thema zu Wort, los alle posten nur nicht schüchtern sein!!!

@ Lukas mein Thema haette mehr Aufmerksamkeit gekriegt, wenn du oder sonst welcher Moderator, mein Threadtitel nicht umbenannt haetten, war doch gut die Ueberschrift oder nicht???:-)))

MFG Euer
SPYKILLER

#4 Hallo@Spykiller

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit

#5 kann ich hier einsteigen? Im Prinzip gleiches Problem, daher denke ich neuer Thread überflüssig:

Nach dem o.a. Attacke, kann ich WINDOWS Explorer nicht öffnen (Nicht INTERNET Explorer!)
Verschiedene andere Funktionen, die vermutlich auf Windows Explorer zurückgreifen, gehen ebenfalls nicht (e.g. software de-install).
Habe bereits fsg_4104.exe entfernt.
McAfee Firewall warnt bei svchost.exe; msmgs.exe; alg.exe

Habe Hijackthis log hier. (war etwas kompliziert, da ich immer wieder in Windows Notmodus starten muss, um Windows Explorer dann doch benutzen zu können)

Nach fsg_4104 fix halten sich die Werbe popups in Grenzen, aber Restschaden im Explorer scheint noch da zu sein.

Bin dankbar für jede Anregungen! (bin nicht newbie, aber auch nicht R2D2!)


Logfile of HijackThis v1.99.0
Scan saved at 10:01:34, on 06/02/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Drew Downloads\Norton\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liptu.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O2 - BHO: (no name) - {C0A8EABB-004C-55DD-0076-AC44FBB2A59E} - C:\WINDOWS\system32\sdkok.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton SystemWorks\Norton Antivirus\NavShExt.dll
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Program Files\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C82 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C82 Series" /O6 "USB001" /M "Stylus C82"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AcctMgr] C:\Program Files\Norton SystemWorks\Password Manager\AcctMgr.exe /startup
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe
O4 - HKLM\..\Run: [ntap32.exe] C:\WINDOWS\system32\ntap32.exe
O4 - HKLM\..\Run: [2DC.tmp] C:\DOCUME~1\andrew\LOCALS~1\Temp\2DC.tmp.exe 3 10001
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Program Files\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: 12Ghosts Popup-Killer.lnk = C:\Program Files\12Ghosts\12popup.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Program Files\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/e0018945/enter.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0869815b44c37dc80806/netzip/RdxIE601_fr.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040428/qtinstall.info.apple.com/saba/fr/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1002535.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Fax - Unknown - C:\WINDOWS\system32\fxssvc.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: McAfee Firewall - Network Associates, Inc. - C:\Program Files\McAfee\McAfee Firewall\CPD.EXE
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Service Norton AntiVirus Auto-Protect - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton SystemWorks\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\FICHIE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: SymWMI Service - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\atlpt.exe

#6 Hallo@dasadrew

Lade:
#Antivirus (free)
http://www.free-av.de/
[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

warte den Installationsscann in Ruhe ab, konfiguriere( den Fullscann machst du dann im abgesicherten Modus)...fals dein System einfriert, deaktiviere kurzzeitig den Symantec

Lade und entpacke auf dem Desktop:
KillBox
http://www.bleepingcomputer.com/files/killbox.php

1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


-----------------------------------------------------------------------------------------


Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.


REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_O?*001E*2019*017DRT*00F1*00E5*00C8*00B2$*000E*00D3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\O?’ŽrtñåȲ$Ó]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\½O.#ž‚„�õØ´â]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY___NS_SERVICE_3]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\__NS_Service_3]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\HSA]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SE]

[-HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SW]


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\liptu.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liptu.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\liptu.dll/sp.html#44768
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {C0A8EABB-004C-55DD-0076-AC44FBB2A59E} - C:\WINDOWS\system32\sdkok.dll
O4 - HKLM\..\Run: [Windows AdStatus] C:\Program Files\Windows AdStatus\WinStat.exe -->Winstat.exe is passwords steal/ ICQ Trojan
O4 - HKLM\..\Run: [ntap32.exe] C:\WINDOWS\system32\ntap32.exe
O4 - HKLM\..\Run: [2DC.tmp] C:\DOCUME~1\andrew\LOCALS~1\Temp\2DC.tmp.exe 3 10001
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.awmdabest.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.05p.com (HKLM)
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.scoobidoo.com (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MusicUnlimited/ie/Bridge-c106.cab
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/e0018945/enter.cab
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwares/v4.0/0006_adult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/0869815b44c37dc80806/netzip/RdxIE601_fr.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_1002535.cab
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\atlpt.exe

PC neustarten
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken).

Die Datei "fixme.reg" auf dem Desktop doppelklicken.

oeffne die Killbox:
Delete File on Reboot

kopiere rein:
C:\WINDOWS\atlpt.exe
C:\WINDOWS\system32\services.exe
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DC.tmp.exe 3 10001
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DC.tmp.exe
C:\WINDOWS\liptu.dll
C:\Program Files\Windows AdStatus\WinStat.exe
C:\WINDOWS\system32\ntap32.exe
C:\WINDOWS\system32\sdkok.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten--> wieder in den abgesicherten Modus

Loesche:
C:\Program Files\Windows AdStatus\

Mache einen Fullscann mit dem Antivirus (poste mir dann unbedingt das Log vom Scann)

gehe wieder in den Normalmodus

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

#Ad-aware SE Personal 1.05 Updated
http://fileforum.betanews.com/detail/965718306/1
Laden--> Updaten-->scannen-->PC neustarten--> noch mal scannen--> poste das Log vom Scann

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hi Sabina!

Dat war hart! Bis zum "gehe wieder in Normalmodus" hat alles gut geklappt. Im Normalmodus dann konnte ich NICHTS mehr anfangen! Mein modem startete nicht, Explorer war noch weg, control centre war weg, keine connexions menus usw. usw.

Blieb mir nichts anderes übrig als XP zu 'reparieren' (eigentlich fast Neuinstallation). Dann blieb die Neu-installation in einem loop hängen!!!!

Jetzt hat die Neu-installation geklappt (habe die CD-ROM zu einem strategischen Zeitpunkt entfernt!

Jetzt ist aber spät geworden und ich bin einfach so froh, daß ich wieder online gehen kann!

Die Werbespots kommen nicht mehr, aber McAfee will wissen, ob svchost mit dem Netz kommunizieren darf. Was meinst Du?

Schätzungsweise sollte ich die o.a. Viruschecks (aber nicht mehr die Reg Änderungen) machen, oder?

Danke für deine Unterstützung!

Drew

Übrigens, AntiVir hat ca. 20 Trojanische Pferde entfernt. Das einzige, was vor dem o.a. Desaster zurückkam nach Reinigung war Lefeat.DLL1.

#8 Hallo@dasadrew

Das der PC verseucht war, konnte man sehen .!

diesmal poste ich dir ein Tool, was nicht loescht, dir aber die pfade der Viren anzeigt, so kannst du es dann mit Hilfe der Killbox loeschen.

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

• Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein



jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina

So! jetzt muss ich noch Brötchen verdienen gehen, aber dies sind die Resultate der letzten Nacht!

Bis bald

Drew


Sun Feb 06 22:53:41 2005 => **********************************************************
Sun Feb 06 22:53:41 2005 => eScan AntiVirus Toolkit Utility.
Sun Feb 06 22:53:41 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sun Feb 06 22:53:41 2005 => **********************************************************
Sun Feb 06 22:53:41 2005 => Version 4.8.7


C:\DOCUME~1\andrew\LOCALS~1\Temp\1.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus.
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp.exe infected by "not-a-virus:AdWare.WinShow.f" Virus
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus
C:\Program Files\Kazaa\PerfectNavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus
C:\Program Files\MyWay\myBar\1.bin\MY2NS.EXE infected by "not-a-virus:AdWare.Toolbar.MyWay.b" Virus
C:\Program Files\MyWay\myBar\1.bin\NPMYWAY.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.f" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\01E33CC7 infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\085B3A0E infected by "Email-Worm.Win32.NetSky.q" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\145F47EF infected by "Email-Worm.Win32.NetSky.q" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\158C1143 infected by "Trojan-Downloader.JS.IstBar.b" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\216A7110 infected by "not-a-virus:AdWare.WinShow.f" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\29D07A56 infected by "Exploit.HTML.FileDownload" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\2C04425E infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\3BEB314C infected by "Trojan-DDoS.Win32.Boxed.s" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\434A04E4 infected by "Email-Worm.Win32.NetSky.q" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\45385807 infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4A745071 infected by "Trojan.Win32.Zapchast" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4A981E4A infected by "not-virus:Joke.Win16.Stupid.a" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4FA90035 infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\54837C8C.class infected by "Trojan.Java.ClassLoader.z" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\56A9457F infected by "Email-Worm.Win32.NetSky.q" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\56D03D54 infected by "Exploit.HTML.FileDownload" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\627A4EFE infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6C8D63EE infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6E7E7384 infected by "Email-Worm.Win32.Sober.g" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6F4A5CD5 infected by "Email-Worm.Win32.NetSky.q" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\77D90611 infected by "Trojan-Downloader.Win32.IstBar.gen" Virus
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\7FF869DE infected by "not-a-virus:AdWare.WinShow.f" Virus
C:\RECYCLER\NPROTECT\00157682.dll infected by "not-a-virus:AdWare.WinAD.t" Virus
C:\RECYCLER\NPROTECT\00157684.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus
C:\RECYCLER\NPROTECT\00157693.DLL infected by "Trojan-Downloader.Win32.IstBar.gz" Virus
C:\RECYCLER\S-1-5-21-385299623-2667655278-2453650892-1006\Dc1\WinStatComm.dll infected by "not-a-virus:AdWare.WinAD.u" Virus
C:\RECYCLER\S-1-5-21-385299623-2667655278-2453650892-1006\Dc1\WinStatKeep.exe infected by "not-a-virus:AdWare.WinAD.k" Virus
D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152743-497.dll infected by "not-a-virus:AdWare.WinAD.t" Virus
D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152754-955.dll infected by "Trojan-Downloader.Win32.WinShow.au" Virus
D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152755-246.dll infected by "Trojan-Downloader.Win32.IstBar.gz" Virus
D:\Humour\California.exe infected by "not-virus:Joke.Win16.Aloap" Virus

#10 dasadrew

#Leere den Papierkorb

# Start<Ausfuehren --> schreib rein: %temp%

suche und loesche:
C:\DOCUME~1\andrew\LOCALS~1\Temp\1.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\1.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp.exe
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp

loesche mit der Killbox:

KillBox
http://www.bleepingcomputer.com/files/killbox.php
<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

1. Double-click on KillBox.exe.
2. Click "Replace on Reboot" and check the "Use Dummy" box.
3. Paste this file into the top "Full Path of File to Delete" box.
* C:\WINDOWS\System32\s6pulg7916.dll
4. Click the "Delete File" button which looks like a stop sign.
5. Click "Yes" at the Replace on Reboot prompt.
6. Click "No" at the Pending Operations prompt.
7. Repeat steps 4-8 above for these files:
8. Click "Replace on Reboot" and check the "Use Dummy" box.
9. Paste this file into the top "Full Path of File to Delete" box.

C:\DOCUME~1\andrew\LOCALS~1\Temp\1.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\1.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp
C:\DOCUME~1\andrew\LOCALS~1\Temp\2.tmp.exe
C:\DOCUME~1\andrew\LOCALS~1\Temp\2DB.tmp
C:\Program Files\Kazaa\PerfectNavUninstall.exe
C:\Program Files\MyWay\myBar\1.bin\MY2NS.EXE

10. Click the "Delete File" button which looks like a stop sign.
11. Click "Yes" at the Replace on Reboot prompt.
12. Click "Yes" at the Pending Operations prompt to restart your computer.

C:\Program Files\MyWay\myBar\1.bin\NPMYWAY.DLL

13. If you get a "PendingFileRenameOperations Registry Data has been Removed by External Process!" message then just restart manually.

das kannst du dann auch noch loeschen:
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\01E33CC7
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\085B3A0E
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\145F47EF
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\158C1143
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\216A7110
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\29D07A56
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\2C04425E
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\3BEB314C
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\434A04E4
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\45385807
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4A745071
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4A981E4A
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\4FA90035
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\54837C8C.class
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\56A9457F
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\56D03D54
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\627A4EFE
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6C8D63EE
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6E7E7384
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\6F4A5CD5
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\77D90611
C:\Program Files\Norton SystemWorks\Norton Antivirus\Quarantine\7FF869DE

C:\RECYCLER\NPROTECT\00157682.dll
C:\RECYCLER\NPROTECT\00157684.dll
C:\RECYCLER\NPROTECT\00157693.DLL

C:\RECYCLER\S-1-5-21-385299623-2667655278-2453650892-1006\Dc1\WinStatComm.dll
C:\RECYCLER\S-1-5-21-385299623-2667655278-2453650892-1006\Dc1\WinStatKeep.exe

D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152743-497.dll
D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152754-955.dll
D:\Drew Downloads\Norton\hijackthis\backups\backup-20050206-152755-246.dll

dann berichte
Start<Ausfuehren< %temp% --> dort findest du eine Textdatei
kg.txt oder so aehnlich, ist die txt von der Killbox--> poste mir den Inhalt
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,

Löschen und Killen ging problemlos. Nach dem Reboot ist das Modem aber tot! (Not Responding)

Jetzt habe ich alles versucht und letztendlich Windows neu installiert.

Alles ohne Erfolg. Das DSL Modem ist über Ethernet am PC angeschlossen.

Irgendwelche Ideen?

Drew

#12 wenn du Windows neu installiert hat, musst du auch die Driver fuer das Modem neu installieren--> also CD vom Modem einlegen-->Modem anschliessen und dann durfte alles wieder funktionieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo Sabina,

das habe ich schon alles gemacht. Das Modem war schon nicht mehr aktiv bevor ich Windows neu-installiert hatte. Ich habe sämtliche Drivers, Installationen usw. für mein ISP und Modem sowohl vor dem Windows Neuladen wie auch danach neu installiert.

Als ich Windows vor dem Neu-Laden gestartet hatte, erscheint der Icon für Modem kurz grün (=OK), dann während Windows sich sortiert, flackert ganz kurz ein Fenster (zu schnell, um zu sehen was es ist) und das Modem wird ge-killed.

Ich weiss, daß wir u.U. vom Thema abdriften, aber im Moment rückt ein Format C: immer näher!

Kann irgendwas noch resident sein? Das Ändern von der Internet Startseite klappt auch nicht! Auch ohne Netzwerk sucht er immer noch about:blank. Auch der XP Start dauert ca. 8 Minuten insgesamt.

(PS: kann ich überhaupt Format C: und komplett Neu-installation mit der MS Windows Restore CD, oder muss ich dann das Vollprodukt kaufen?)

Gruß

Drew

#14 dasadrew

Ja, es driftet etwas vom Thema ab und ich will keine falschen Tipps geben, aber soviel ich weiss, kann man mit der Windows Restore CD was tun. Vielleicht fragst du noch mal genau in einem Softwareforum, wie und ob das geht

http://www.informationsarchiv.net/foren/index.php
melde dich an und poste im Software-Forum

wenn es dann noch Fragen (die mit Viren zu tun haben) gibt, poste hier oder im Informationsarchiv, da bin ich unter "Nikita" im Sicherheitsforum aktiv.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi Sabina!

bin wieder da! Auf einmal hat das Modem jetzt wieder seine Dienste aufgenommen! Ich denke, bei den Neuinstallationen habe ich vielleicht 2 Modem softwares daraufgespielt oder sowas.

Jetzt spiele ich die letzten Windows updates 'rüber + SP1 + SP2 da das Restore mich wieder in den Basisstand versetzt hatte.

Nun die eigentliche Frage:

Natürlich sobald ich wieder ans Netz ging habe ich die übliche Flut von popups bekommen mit Werbung für Anti-Spyware usw. Das <about:blank> homepage Problem läst sich weiterhin nicht beseitigen.

Vielleicht kannst Du eine empfehlenswerte Reihenfolge für die verschiedenen HiJack, Spyware, Killware checks und Aktionen posten, da ich inzwischen die ganzen Programme habe!

Nochmals herzlichen Dank für die Begleitung durch diese schwierigen Tagen!