"games.cab/.exe" - Dialer? trotz fixen vorhanden |
||
---|---|---|
#0
| ||
17.02.2005, 11:25
...neu hier
Beiträge: 6 |
||
|
||
17.02.2005, 15:50
Member
Beiträge: 1132 |
#2
Hallo Tessa-Luisa
Du musst wohl ausbaden, was Dein Chef bei seinen Internetausflügen eingefangen hat! Also, lass uns einmal ganz einfach anfangen Lade Dir herunter und update AdAware http://www.lavasoft.de/support/download/ Spybot S&D hast Du ja ebenso herunterladen CWShredder http://www.majorgeeks.com/download3019.html LSPfix http://www.cexx.org/lspfix.htm (lspfix.txt lesen!) Mcafee Stinger http://vil.nai.com/vil/stinger/ KillBox http://www.bleepingcomputer.com/files/killbox.php XP-Systemwiederherstellung deaktivieren (das Aktivieren am Schluss nicht vergessen!) Arbeitsplatz => Rechtsklick => Eigenschaften => Systemwiederherstellung => Häkchen entfernen => OK PC im abgesicherten Modus starten http://www.bsi.bund.de/av/texte/wiederher_95982000.htm Mit HJT fixen O4 - HKLM\..\Run: [¢�¸u0Ô@ÔÁÐ]ú"ü�ü�iC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe O4 - HKLM\..\Run: [¢�¸u0Ô@ÔÁÐ]ú"ü�¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe O18 - Filter: text/html - {B6D93D63-D4B1-4184-9DD4-EF2CD9D19C60} - C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat PC neu booten ISTBar Removal Tool http://www.2-spyware.com/file-istsvc-exe.html herunterladen und ds System scannen sowie evtl. Funde löschen Mit AdAware und Spybot S&D einen kompletten Systemscan im abgesicherten und im normalen Modus durchführen und alle gefundenen kritischen Objekte löschen. (Sollte es Probleme mit Deinem Virenwächter geben => vorübergehend abschalten) In den abgesicherten Modus gehen und mit CWShredder und Stinger scannen. Berichte, was gefunden wurde. LSPFix öffnen und starten. Wenn Scan beendet => "I know what I am doing" ankreuzen und die Datei fltmgr.dll vom linken in das rechte Fenster ziehen => Finish Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten C:\Programme\ISTsvc\istsvc.exe C:\WINDOWS\ylumrl.ex C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat HJT Log erstellen und posten Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 18.02.2005 um 08:44 Uhr von Heron editiert.
|
|
|
||
18.02.2005, 11:26
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Heron,
tausend Dank für deine Hilfe. Ich habe deine Anweisung exakt befolgt - wie kann man so etwas nur wissen, respekt - und wie es aussieht, scheint das Problem nun behoben zu sein. Gefunden wurde von: CWShredder: CWS.Hidden.DLL (oder meintest du diesen ellenlangen Skript?) Bei Stinger weiß ich leider gar nicht was da ein Ergebnis sein könnte. Der Hijackthis Logfile: Logfile of HijackThis v1.99.0 Scan saved at 11:16:35, on 18.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\mHotkey.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ZipMagic\zm32nt.exe C:\Programme\AVPersonal\AVSched32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\WINDOWS\System32\wuauclt.exe C:\Program Files\hijackthis199[1]\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Vielleicht kannst du ihn nochmal ansehen. Ich hoffe es ist alles ok. Vielen Dank für deine Hilfe. Grüße Tessa |
|
|
||
18.02.2005, 12:00
Member
Beiträge: 1132 |
#4
Hallo Tessa-Luisa,
(schöner Name übrigens. Dein echter?) der Log sieht sauber aus. Das hast Du gut gemacht! Ich nehme an, dass ihr das Programm "C:\Programme\ZipMagic\zm32nt.exe" kennt. Wenn nicht, dann folgende Einträge mit HJT fixen: O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe PC neu starten und dann C:\Programme\ZipMagic\zm32nt.exe manuell löschen. Zur Vorsicht würde ich aber noch raten, die nachfolgenden Aktionen auszuführen: eScan Erkennungstool http://www.mwti.net/antivirus/free_utilities.asp erstelle einen Ordner c:\bases das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern) Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten) http://www.tu-berlin.de/www/software/virus/savemode.shtml Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei: All Files, Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories => und dann "Scan" klicken. Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten. RegCleaner http://www.chip.de/downloads/c_downloads_8830516.html Lade das Programm, wähle "Deutsch" als Sprache und säubere die Registry mit Tools => Registry säubern => alles durchführen => alle gefundenen Objekte markieren => markierte entfernen (Du kannst alles Angezeigte löschen, denn das Programm legt eine Sicherung an, die später bei evtl. Problemen wiederhergestellt werden kann) ClearProg 1.4.1 http://www.clearprog.de/downloads.php Surfspuren löschen. Alle Kategorien unter Internetexplorer und Windows im rechten Fenster ankreuzen und "Löschen" drücken. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch Dieser Beitrag wurde am 18.02.2005 um 12:05 Uhr von Heron editiert.
|
|
|
||
21.02.2005, 10:46
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Heron,
(der Name ist echt) Danke für deine neuerlichen Tipps. Leider bin ich gerade ziemlich mit Arbeit überlastet und mein Chef hält weitere Vorsichtsmaßnahmen für unnötig "Es läuft ja gerade". Wenn er wieder unterwegs ist werde ich mich aber nochmal dran machen und dann berichten. Bis dann und nochmal vielen Dank Tessa |
|
|
||
21.02.2005, 12:44
Member
Beiträge: 1132 |
#6
Nur zu!
Und poste anschließend auch gleich noch einmal ein aktuelles HJT Log. Gruß Heron __________ "Die Welt ist groß, weil der Kopf so klein" Wilhelm Busch |
|
|
||
ich hatte gestern schon wegen einem Problem mit Trojanern und Dialern um Hilfe gebeten, leider bis jetzt ohne Antwort. Einen Teil scheine ich nun doch irgendwie wegbekommen zu haben, aber die Dateien
games.cab bzw. games.exe halten sich hartnäckig.
Und auch der Trojaner ist wieder da, wie's scheint
Kann mir jemand sagen was das ist und wie ich es losbekomme?
Hier nochmal der Logfile
Logfile of HijackThis v1.99.0
Scan saved at 10:22:18, on 17.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ZipMagic\zm32nt.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\hijackthis199[1]\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O18 - Filter: text/html - {B6D93D63-D4B1-4184-9DD4-EF2CD9D19C60} - C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
Wer kann mir helfen?
Vielen Dank. Tessa-Luisa