TR\LEFEAT.DLL1 wie entfernen?

#0
27.02.2005, 13:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#91 Hallo@hamlin

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

KillBox (entpacke auf dem Desktop)
http://www.bleepingcomputer.com/files/killbox.php

eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.

So wird der Dienst deaktiviert:

Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt " Network Security Service (NSS)" aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Network Security Service (NSS) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " " läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs

kopiere rein.

6QÔõ'ª´ÆÐ8

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Network Security Service

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\yycgp.dll/sp.html#44768
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {FC979FB4-4338-6B9C-818A-B1BB3202A5E7} - C:\WINDOWS\msil32.dll
O4 - HKLM\..\Run: [nttu.exe] C:\WINDOWS\system32\nttu.exe
O4 - HKLM\..\RunOnce: [ntpa32.exe] C:\WINDOWS\ntpa32.exe
O4 - HKLM\..\RunOnce: [crqc32.exe] C:\WINDOWS\crqc32.exe
O4 - HKCU\..\Run: [Rlos] C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe
O4 - HKCU\..\Run: [Aevip] C:\WINDOWS\System32\l?ass.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/4d6f0a98/enter.cab
O23 - Service: Network Security Service (NSS) ( 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\sdkew32.exe (file missing)

PC neustarten-->
gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

oeffne die Killbox:
<Delete File on Reboot <---anhaken

C:\WINDOWS\msil32.dll
C:\WINDOWS\System32\l?ass.exe
C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe
C:\WINDOWS\yycgp.dll
C:\WINDOWS\system32\sdkew32.exe
C:\WINDOWS\crqc32.exe
C:\WINDOWS\ntpa32.exe
C:\WINDOWS\system32\nttu.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten-->
gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

mache einen Komplettscann mit dem Antivirus (poste mir dann das Log vom Scann)

Gehe wieder in den Normalmodus:

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten

danach alles " infected" mit der killbox loeschen.


___________________________________________________________________


#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackTis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.02.2005, 23:52
...neu hier

Beiträge: 7
#92 Hallo Sabine,


bis zu dem Punkt "oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche" bin ich gekommen, wenn ich %temp% reinschreibe kommt folgende Fehlermeldung:

"Die Anweisung in "0x01610065" verweist auf Speicher in "0x00000000". Der Vorgang "written" konnte nicht auf dem Speicher durchgeführt werden."

Kann ich diesen Punkt auch im abgesicherten Modus vornhemen, da scheint es zu funktionieren, hatte ja geschrieben, dass ich seit der Installation des SP2 nicht mehr auf Arbeitsplatz und Systemsteuerung zugreifen kann. Wenn ich das versuche kommt eine ähnliche Fehlermeldung.

Kannst du sagen, ob dieses Problem vom SP2 oder vom Virus kommt?

Lieben Gruss
Thorsten
Dieser Beitrag wurde am 27.02.2005 um 23:53 Uhr von hamlin editiert.
Seitenanfang Seitenende
28.02.2005, 14:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#93 deinstalliere das SP2 mal bitte vorruebergehnd, dann saeubere den PC nach meinen Anweisungen (alles im abgesicherten Modus)

dann poste das neue Log vom HijackThis

dann kann man immer noch uber eine Neuinstallation von SP2 nachdenken ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.03.2005, 00:24
...neu hier

Beiträge: 7
#94 Hallo Sabina,

danke für deine schnelle Antwort. Hier ist schon mal der erste Scan.

Liebe Grüsse
Thorsten


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "6QÔõ'ª´ÆÐ8" 28.02.2005 23:51:18

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000]
"Service"=" 6QÔõ'ª´ÆÐ8"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ 6QÔõ'ª´ÆÐ8\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000]
"Service"=" 6QÔõ'ª´ÆÐ8"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ 6QÔõ'ª´ÆÐ8\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F__6Q*00D4*00F5*0013'*00AA*00B4*00C6*00D08\0000]
"Service"=" 6QÔõ'ª´ÆÐ8"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 6QÔõ'ª´ÆÐ8\Enum]



und hier ist der scan von "mwav.exe"


File C:\DOKUME~1\thoRsten\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd151_en.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd171gu_en.exe infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\cstrainer.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\setup_postpaket_2.11.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\Programme\Vorsaliases3.81.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\thoRsten\Lokale Einstellungen\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\Programme\AVPersonal\INFECTED\YYCGP.DLL.VIR infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0AE72631.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0AFB221C.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D195BC7.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D195BC7.php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D1C05C4.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\0D1C05C4.php infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\10D669AA.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\10E0679F.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1AFC4097.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1B13667E.htm infected by "Exploit.VBS.Phel.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\1CE366DB.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\258E5E19.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\25953212.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\259F3007.hta infected by "Trojan-Dropper.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2BB63DDD.exe infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\2C7D20FA.tmp infected by "Email-Worm.Win32.Bagle.z" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\633D2FD9.tmp infected by "Email-Worm.Win32.Bagle.z" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\670B46CD.exe infected by "Trojan.Win32.Dialer.ay" Virus. Action Taken: No Action Taken.
File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\7F1D7F99.gif infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.
File C:\Sierra\Counter-Strike\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\Sierra\Counter-Strike\update\cs1005.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
File C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP5\A0004901.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP5\A0004902.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
File D:\Tools\DivX Video\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.


Ich bekomme mit dem editor, die mwav.txt nicht geöffnet, da ich nur die Datei mwav.exe finde, kannst du mir bitte schreiben wie ich genau vorgehen muss.

Danke
Thorsten
Dieser Beitrag wurde am 02.03.2005 um 20:10 Uhr von hamlin editiert.
Seitenanfang Seitenende
04.03.2005, 23:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#95 Hallo@hamlin

loesche mit der Killbox:
__________________________________________________________________________________________________________________
C:\WINDOWS\msil32.dll
C:\WINDOWS\System32\l?ass.exe
C:\Dokumente und Einstellungen\thoRsten\Anwendungsdaten\estr.exe
C:\WINDOWS\yycgp.dll
C:\WINDOWS\system32\sdkew32.exe
C:\WINDOWS\crqc32.exe
C:\WINDOWS\ntpa32.exe
C:\WINDOWS\system32\nttu.exe
C:\Dokumente und Einstellungen\thoRsten\Lokale Einstellungen\Temp\cd_clint.dll
C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd151_en.exe
C:\Dokumente und Einstellungen\thoRsten\Desktop\alte Dateien Festplatte\eigene Dateien\Eigene Dateien\mp3\kmd171gu_en.exe

PC neustarten


#ClaerProg..lade die neuste Version <1.4.1

http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)


#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackTis

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2005, 11:26
...neu hier

Beiträge: 7
#96 Hallo Sabina,

noch mal Danke für deine Hilfe, hier ist das aktuelle Logfile vom Hijack. Das mit der Startseite scheint funktioniert zu haben, auch sind diese blöden Einträge in Favoriten verschwunden.

Gruss
Thorsten

Logfile of HijackThis v1.99.1
Scan saved at 11:24:49, on 05.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\thoRsten\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [MAILSPOOL] C:\Programme\Gemeinsame Dateien\Sage KHK Shared\MAILSPOOL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - http://www.medionshop.de (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20040105/qtinstall.info.apple.com/mickey/de/win/QuickTimeInstaller.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
05.03.2005, 14:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#97 Hallo@hamlin

Jotti's malware scan 2.4
- einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

C:\Programme\Internet Explorer\iexplore.exe <----Added as a result of an unidentified VIRUS!

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten

Fixe mit dem HijackThis:

O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe

neustarten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2005, 17:58
...neu hier

Beiträge: 7
#98 Hallo Sabina,

bedeutet diese Datei:
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe

das der IE bei Systemstart automatisch gestartet wird? Habe ihn bereits manuell rausgenommen, er wird jetzt nämlich nicht mehr von Hijack angezeigt.

Habe jedoch diese Einträge, weisst du was sie bedeuten?
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [Dit] Dit.exe

Und anbei der Bericht zum IE

Service load:
0% 100%
File: iexplore.exe
Status:
OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
Packers detected:
None

AntiVir
No viruses found (0.40 seconds taken)
Avast
No viruses found (1.53 seconds taken)
AVG Antivirus
No viruses found (0.48 seconds taken)
BitDefender
No viruses found (0.51 seconds taken)
ClamAV
No viruses found (0.61 seconds taken)
Dr.Web
No viruses found (0.85 seconds taken)
F-Prot Antivirus
No viruses found (0.09 seconds taken)
Fortinet
No viruses found (0.44 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.98 seconds taken)
mks_vir
No viruses found (0.24 seconds taken)
NOD32
No viruses found (0.49 seconds taken)
Norman Virus Control
No viruses found (0.65 seconds taken)

Statistics
Last piece of malware found was Bifrose.D in server.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.48 seconds
Avast X 1.53 seconds
AVG Antivirus BackDoor.Bifrose.U 0.51 seconds
BitDefender Backdoor.Bifrose.D 0.51 seconds
ClamAV Trojan.Bifrose-4 0.61 seconds
Dr.Web BackDoor.Bifrost 0.86 seconds
F-Prot Antivirus X 0.12 seconds
Fortinet X 0.47 seconds
Kaspersky Anti-Virus Backdoor.Win32.Bifrose.d 1.03 seconds
mks_vir Trojan.Bifrose.D 0.36 seconds
NOD32 probably unknown NewHeur_PE 0.53 seconds
Norman Virus Control Bifrose.D 0.19 seconds
Dieser Beitrag wurde am 05.03.2005 um 18:04 Uhr von hamlin editiert.
Seitenanfang Seitenende
05.03.2005, 18:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#99 Hallo@hamlin

die "iexplore.exe" ist nicht geheuer, der IE kommt nie in den Autostart

suche die exe, rechtsklick...Eigenschaften--> was steht da ?

(das andere ist deine GraKa ;) )
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.03.2005, 18:42
...neu hier

Beiträge: 7
#100 Hallo Sabina,

da steht nichts außergewöhnliches, so wie ich das sehe.
Welche Daten meinst du? Ich habe bei Eigenschaften 4 Reiter:
Allgemein, Version, Kompatibilität und Dateiinfo.

Habe den IE vor geraumer Zeit selbst in den Autostart eingestellt, da ich sowieso jedes Mal wenn ich den PC hochfahre ins Internet gehe und es so einfacher ist. Nach diesem Trojaner werde ich nur noch mit Mozilla arbeiten, so dass ich versucht habe den IE aus dem Autostart zu nehmen. Hat aber über die Autostartordner in den einzelnen Profilen nicht geklappt, da war er raus aber startete immer noch. Habe dann unter Ausführen "msconfig" eingegeben und bei Systemstart den Haken entfernt.

Gruss
Thorsten
Seitenanfang Seitenende
06.03.2005, 20:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#101 na dann ist ja alles o.k ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.03.2005, 23:29
...neu hier

Beiträge: 7
#102 Dann hoffe ich mal das alles weg ist und bedanke mich noch einmal für die Hilfe. Danke.

Thorsten
Seitenanfang Seitenende