Home » Spyware & Browser Hijacker Support Forum » hi hab ein problem mit topantispywar.com » Themenansicht

hi hab ein problem mit topantispywar.com
#0
02.03.2005, 21:06
milena
...neu hier

Beiträge: 1
#1 hi ich habe ein problem mi einem hartnäckigen und nervenden Freund


Logfile of HijackThis v1.99.1
Scan saved at 21:03:44, on 02.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\WINDOWS\System32\lsass1356.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\syonie\LOKALE~1\Temp\Rar$EX20.2282\HijackThis.exe

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.02.3000.1002\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.3000.1001\de\msntb.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MS lsass6 Startup] lsass1356.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [MS lsass6 Startup] lsass1356.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [MS lsass6 Startup] lsass1356.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: EPSON SMART PANEL for Scanner.lnk = C:\Programme\EPSON\EPSON SMART PANEL for Scanner\espmain.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101770331294
O17 - HKLM\System\CCS\Services\Tcpip\..\{9513007B-A449-4999-8539-98AEBAE2EAEF}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


vielen dank im voraus für eure hilfe mfg milena
Seitenanfang Seitenende
05.03.2005, 21:32
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@milena

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\Run: [MS lsass6 Startup] lsass1356.exe
O4 - HKLM\..\RunServices: [MS lsass6 Startup] lsass1356.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [MS lsass6 Startup] lsass1356.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

C:\WINDOWS\System32\lsass1356.exe
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\WINDOWS\System32\spoolsrv32.exe

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

falls du es findest;)loeschen)
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html <---loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url


•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

dann poste das neue Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.03.2005, 00:04
kuepp
...neu hier

Beiträge: 9
#3 Hy zusammen,
hy Sabine,

ich hab mir den schwer entfernbaren Trojaner ebenfalls (wahrscheinlich über IRC) eingefangen.

Ich würde mich freuen wenn du über meinen LOG mal schauen könntest und mir helfen würdest.

Logfile of HijackThis v1.98.2
Scan saved at 00:04:27, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\ibmtools\aptezbtn\aptezbp.exe
C:\ibmtools\aptezbtn\rakusb.exe
C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\NMain.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp13F.tmp
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\explorer.exe
E:\hijackthis1982\HijackThis.exe

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate49298543[1].exe
O4 - Global Startup: Mousex32.lnk = C:\Programme\Microsoft Hardware\Mouse\Mousex32.exe
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O9 - Extra button: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file) (HKCU)
O15 - Trusted Zone: *.frame.crazywinnings.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD2BDFA-7C60-4ADE-B9BB-53E48AC024EF}: NameServer = 217.237.150.97 217.237.149.161

Killbox und NOD32 hab ich schon runtergeladen. Ich will mir aber nix kaputt machen und bin leider auch nicht der PC-Experte.

Danke im voraus.
Seitenanfang Seitenende
18.03.2005, 00:47
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@kuepp

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann aktiviere sie wieder)

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R3 - URLSearchHook: transURL Class - {C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70} - C:\WINDOWS\System32\SEARCH~1.DLL
O4 - HKLM\..\RunServices: [Windows Registry Server] spoolsvc.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: winupdate49298543[1].exe
O9 - Extra button: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file)
O9 - Extra button: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {51DAEB71-4086-4396-984A-881E57D45CE3} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {5DDC831F-830E-4C26-82E4-E38EE3A5B393} - (no file) (HKCU)
O15 - Trusted Zone: *.frame.crazywinnings.com

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\SEARCH~1.DLL
C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\r.exe
C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp13F.tmp
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\spoolsvc.exe

PC neustarten--> in den abgesicherten Modus (F8 druecken, wenn der PC hochfaehrt)

falls du es findest:
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

C:\Dokumente und Einstellungen\Kai\Startmenü\Programme\Autostart\winupdate49298543[1].exe<<---loeschen
C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp13F.tmp<--loeschen

scanne mit NOD32 im abgesicherten modus

gehe wieder in den Normalmodus:

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

+ poste das neue Log vom HijackTHis

HijackThis--> neue Version !!!!!!!!!!!!!!!!!!!!!!!!
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner -->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->

Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->

nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.03.2005, 12:20
kuepp
...neu hier

Beiträge: 9
#5 Hallo Sabina,

erstmal vielen Dank für die super schnelle Antwort!

Ich bin soweit mit deinen Ratschlägen durch.

Anbei der neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:21:31, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\ibmtools\aptezbtn\aptezbp.exe
C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE
C:\ibmtools\aptezbtn\rakusb.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\msiexec.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - Global Startup: Mousex32.lnk = C:\Programme\Microsoft Hardware\Mouse\Mousex32.exe
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Remote Procedure Call (RPC) Helper (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\apixw.exe (file missing)
Seitenanfang Seitenende
18.03.2005, 12:27
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 kuepp

•Download Registry Search Tool :
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip

Meldung (Symantec)--
warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs

reinkopieren:

%AF夶À¨

Press 'OK'
warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Es sollte das hier erscheinen:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"Service"="%AF夶À¨"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control]
"ActiveService"="%AF夶À¨"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\%AF夶À¨\Enum]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000]
"Service"="%AF夶À¨"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_*008F*0010%AF*00E5*0003*0017*001A*00A4*00B6*00C0*00A8\0000\Control]
"ActiveService"="%AF夶À¨"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Security]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\%AF夶À¨\Enum]


____________________________________________________________________________________________________________

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.awmdabest.com (HKLM)
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O16 - DPF: {D909E944-3A96-4280-9983-9D00001973A4} (Access Control) - http://www.browserplugin.com/plugin/exe/access_special.ocx
O23 - Service: Remote Procedure Call (RPC) Helper (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\apixw.exe (file missing)

PC neustarten

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.03.2005, 17:46
kuepp
...neu hier

Beiträge: 9
#7 Hy Sabine,
...uiuiuiui das waren aber Stunden die ich da vor dem eScan verbracht habe.
Ich denke ja mal, dass ich eher was falsch gemacht haben, aber egal...

Das Reg-Search-Tool hat bei mir: No Instances found; geschrieben.
Also Ergebnis: 0

Danach der HJ-Log:

Logfile of HijackThis v1.99.1
Scan saved at 17:46:03, on 18.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\ibmtools\aptezbtn\aptezbp.exe
C:\Programme\Microsoft Hardware\Mouse\POINT32.EXE
C:\ibmtools\aptezbtn\rakusb.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
D:\Gamers.IRC\mirc.exe
D:\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb06.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AEZBProc] c:\ibmtools\aptezbtn\aptezbp.exe
O4 - Global Startup: Mousex32.lnk = C:\Programme\Microsoft Hardware\Mouse\Mousex32.exe
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DD2BDFA-7C60-4ADE-B9BB-53E48AC024EF}: NameServer = 217.237.150.97 217.237.149.161
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Programme\Eset\nod32krn.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe


Und jetzt komm der eScan-Hammer (inklusive Zusammenfassung, hoffe ich mal :


Fri Mar 18 15:27:05 2005 => File C:\WINDOWS\system32\mshelp32.exe infected by "Backdoor.Win32.Rbot.fo" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:27:18 2005 => File C:\WINDOWS\Adult_Chat.exe infected by "not-a-virus:porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken
Fri Mar 18 15:27:23 2005 => File C:\WINDOWS\searchrepc4tb.dll infected by "not-a-virus:AdWare.WebSearch.c" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:27:26 2005 => File C:\WINDOWS\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:27:48 2005 => File C:\WINDOWS\System32\desktrf.exe infected by "not-a-virus:AdWare.Beginto.b" Virus. Action Taken: No Action Taken
Fri Mar 18 15:28:26 2005 => File C:\WINDOWS\System32\msbjng.dll infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:28 2005 => File C:\WINDOWS\System32\mseggo.gif infected by "Trojan-Spy.Win32.Delf.dx" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:29 2005 => File C:\WINDOWS\System32\msfaol.dll infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:29 2005 => File C:\WINDOWS\System32\msfdje.gif infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:29 2005 => File C:\WINDOWS\System32\msglji.gif infected by "not-a-virus:AdWare.BHO.SearchAssistant.d" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:30 2005 => File C:\WINDOWS\System32\msiaih.dll infected by "not-a-virus:AdWare.Ipend" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:28:37 2005 => File C:\WINDOWS\System32\msxmdp32.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:29:26 2005 => File C:\WINDOWS\System32\wintux32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:29:26 2005 => File C:\WINDOWS\System32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:29:34 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\100.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:29:34 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\101.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:29:59 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\FC.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken
Fri Mar 18 15:29:59 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\FD.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:01 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\IIB5.tmp infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken
Fri Mar 18 15:30:06 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\ms17B.tmp infected by "Trojan-Dropper.Win32.Small.gj" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:10 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\perfectnavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Fri Mar 18 15:30:12 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\remove.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:15 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\temp.fr36E2 infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:15 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\temp.frC4B7 infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:52 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tldA4.tmp infected by "Trojan-Proxy.Win32.Sobit.c" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:52 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp101.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken
Fri Mar 18 15:30:52 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp102.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:53 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp119.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:53 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp11A.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:53 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp128.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:53 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp141.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:30:54 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\tmp164.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:31:00 2005 => File C:\DOKUME~1\Kai\LOKALE~1\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:31:22 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\TEMPOR~1\Content.IE5\OX6R8L67\infected6xz[1].gif
Fri Mar 18 15:31:25 2005 => File C:\!Submit\srpcsrv32.dll infected by "Trojan.Win32.TopAntiSpyware.h" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-1660dbc9-4350c5c9.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-1a8a9a89-5e595bb7.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-51b26348-630904e2.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-58581c27-6f521d47.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-78c18078-4ac2fc6b.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\ar3.jar-de04413-34fdc3a9.zip infected by "Trojan.Java.ClassLoader.k" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arc.jar-36dfcd9a-3a06fda8.zip infected by "Trojan-Downloader.Java.OpenStream.q" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:40:34 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arc.jar-37b54d75-27f8d409.zip infected by "Trojan-Downloader.Java.OpenStream.q" Virus. Action Taken: No Action Taken
Fri Mar 18 15:40:35 2005 => File C:\Dokumente und Einstellungen\Kai\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\arc.jar-3e49a1ac-791df94e.zip infected by "Trojan-Downloader.Java.OpenStream.q" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:41:27 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\100.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus.
Fri Mar 18 15:41:27 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\101.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Fri Mar 18 15:41:53 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\FC.tmp infected by "not-a-virus:AdWare.WinShow.f" Virus. Action Taken: No Action Taken. Fri Mar 18 15:41:53 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\FD.tmp infected by "Trojan-Downloader.Win32.Small.ahz" Virus. Action Taken: No Action Taken. Fri Mar 18 15:41:56 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\IIB5.tmp infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:01 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\ms17B.tmp infected by "Trojan-Dropper.Win32.Small.gj" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:06 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\perfectnavUninstall.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:07 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\remove.exe infected by "Trojan-Downloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:42:10 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\temp.fr36E2 infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:10 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\temp.frC4B7 infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:45 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tldA4.tmp infected by "Trojan-Proxy.Win32.Sobit.c" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:45 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp101.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:42:45 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp102.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:46 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp119.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:46 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp11A.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:46 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp128.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken. Fri Mar 18 15:42:46 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp141.tmp infected by "Trojan-Downloader.Win32.Murlo.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:42:46 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\tmp164.tmp infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:42:53 2005 => File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\uninstall.exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:43:14 2005 => Scanning File C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OX6R8L67\infected6xz[1].gif
Fri Mar 18 15:43:29 2005 => File C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ILCZKDQ7\silent_install[1].exe infected by "not-a-virus:AdWare.ToolBar.EliteBar.m" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:44:01 2005 => File C:\krillxsp.chm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:44:01 2005 => File C:\nikoxxsp.chm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:44:01 2005 => File C:\ntdetect_hta.vir infected by "Trojan-Downloader.VBS.Inor.cj" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:54:53 2005 => File C:\webbosp.chm infected by "Exploit.HTML.CodeBaseExec" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:54:54 2005 => File C:\WINDOWS\Adult_Chat.exe infected by "not-a-virus:porn-Dialer.Win32.Generic" Virus. Action Taken: No Action Taken.
Fri Mar 18 15:55:23 2005 => File C:\WINDOWS\Downloaded Program Files\v2.dll infected by "not-a-virus:AdWare.ToolBar.EliteBar.l" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:01:33 2005 => File C:\WINDOWS\pss\winupdate49298543[1].exeStartup infected by "Trojan-Dropper.Win32.Small.ue" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:01:45 2005 => File C:\WINDOWS\searchrepc4tb.dll infected by "not-a-virus:AdWare.WebSearch.c" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:02:24 2005 => File C:\WINDOWS\system32\desktrf.exe infected by "not-a-virus:AdWare.Beginto.b" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:04 2005 => File C:\WINDOWS\system32\msbjng.dll infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:06 2005 => File C:\WINDOWS\system32\mseggo.gif infected by "Trojan-Spy.Win32.Delf.dx" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:07 2005 => File C:\WINDOWS\system32\msfaol.dll infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:07 2005 => File C:\WINDOWS\system32\msfdje.gif infected by "not-a-virus:AdWare.ClientMan" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:08 2005 => File C:\WINDOWS\system32\msglji.gif infected by "not-a-virus:AdWare.BHO.SearchAssistant.d" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:09 2005 => File C:\WINDOWS\system32\msiaih.dll infected by "not-a-virus:AdWare.Ipend" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:08:16 2005 => File C:\WINDOWS\system32\msxmdp32.dll infected by "Virus.Win32.Bayan-based" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:09:58 2005 => File C:\WINDOWS\system32\wintux32.exe infected by "Trojan.Win32.StartPage.nk" Virus. Action Taken: No Action Taken. Fri Mar 18 16:09:58 2005 => File C:\WINDOWS\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:10:42 2005 => File C:\WINDOWS\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:34:58 2005 => File E:\hijackthis1982\backups\backup-20041113-142042-110.dll infected by "Trojan-Downloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:34:59 2005 => File E:\hijackthis1982\backups\backup-20041113-160541-899.dll infected by "Trojan-Downloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:34:59 2005 => File E:\hijackthis1982\backups\backup-20041113-174504-869.dll infected by "Trojan-Downloader.Win32.Agent.do" Virus. Action Taken: No Action Taken.
Fri Mar 18 16:35:01 2005 => File E:\hijackthis1982\backups\backup-20041129-232528-106.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.g" Virus. Action Taken: No Action Taken. Fri Mar 18 16:35:02 2005 => File E:\hijackthis1982\backups\backup-20041207-141047-117.dll infected by "not-a-virus:AdWare.Beginto.b" Virus. Action Taken: No Action Taken.

ri Mar 18 17:04:36 2005 => Scan Completed.

Fri Mar 18 17:04:46 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 17:04:46 2005 => Virus Database Count: 122324
Fri Mar 18 17:05:18 2005 => Generating Virus List... getvlist.exe C:\DOKUME~1\Kai\LOKALE~1\Temp\vlist.txt
Fri Mar 18 17:05:44 2005 => AV Library Unloaded (3)...
Fri Mar 18 17:16:24 2005 => **********************************************************
Fri Mar 18 17:16:24 2005 => MicroWorld AntiVirus Toolkit Utility.
Fri Mar 18 17:16:24 2005 => Copyright © 2003-2005, MicroWorld Technologies Inc.
Fri Mar 18 17:16:24 2005 => **********************************************************
Fri Mar 18 17:16:24 2005 => Version 5.1.2 (C:\DOKUME~1\Kai\LOKALE~1\Temp\mwavscan.com)
Fri Mar 18 17:16:24 2005 => Log File: C:\DOKUME~1\Kai\LOKALE~1\Temp\MWAV.LOG
Fri Mar 18 17:16:24 2005 => Last Scan Date and Time: 18.03.2005 15:26:26
Fri Mar 18 17:16:24 2005 => Latest Date of files inside MWAV: 17 Mar 2005 20:44:52.
Fri Mar 18 17:16:25 2005 => AV Library Loaded...
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\kavss.exe
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\Getvlist.exe
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\kavss.dll
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\kavssdi.dll
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\kavssi.dll
Fri Mar 18 17:16:25 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\kavvlg.dll
Fri Mar 18 17:16:26 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\msvlclnt.dll
Fri Mar 18 17:16:26 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\ipc.dll
Fri Mar 18 17:16:26 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\main.avi
Fri Mar 18 17:16:26 2005 => Scanning File C:\DOKUME~1\Kai\LOKALE~1\Temp\virus.avi
Fri Mar 18 17:16:26 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 17:16:26 2005 => Virus Database Count: 122324
Seitenanfang Seitenende
18.03.2005, 18:28
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 da weisst du ja, was du alles mit der Killbox loeschen musst......

dann noch mal mit escan scannen...bis alles sauber ist ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.03.2005, 21:33
kuepp
...neu hier

Beiträge: 9
#9 Alle Datein die mir eScan aufgelistet hat????

Nicht wirklich, oder? ;)

gut Ding hat weil...

Wie siehts denn mit den beiden Trusted Zone Einträgen aus? Sind das auch Trojaner?

Noch ne andere Frage: Wie kommt man auf so ne Lösung????
Seitenanfang Seitenende
19.03.2005, 00:06
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 kuepp

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\mshelp32.exe
C:\WINDOWS\Adult_Chat.exe
C:\WINDOWS\searchrepc4tb.dll
C:\WINDOWS\wldr.dll
C:\WINDOWS\System32\desktrf.exe
C:\WINDOWS\System32\msbjng.dll
C:\WINDOWS\System32\mseggo.gif
C:\WINDOWS\System32\msfaol.dll
C:\WINDOWS\System32\msfdje.gif
C:\WINDOWS\System32\msglji.gif
C:\WINDOWS\System32\msiaih.dll
C:\WINDOWS\System32\msxmdp32.dll
C:\WINDOWS\System32\wintux32.exe
C:\WINDOWS\System32\wldr.dll
C:\WINDOWS\Downloaded Program Files\v2.dll
C:\WINDOWS\pss\winupdate49298543[1].exe
C:\krillxsp.chm
C:\nikoxxsp.chm
C:\ntdetect_hta.vir

PC neustarten

•Antivirus (free)--< scanne im abgesicherten Modus !!!!!!!!
http://www.free-av.de/

Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

#ClaerProg..lade die neuste Version <1.4.1
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\<--leeren

C:\Dokumente und Einstellungen\Kai\Lokale Einstellungen\Temp\<--alles loeschen

dann scanne noch mal mit escan--> bis alles sauber ist, alles loeschen, oder mit killbox oder manuell.


1. Öffne den Editor (Start -> Programme -> Zubehör) und kopiere den Inhalt des folgenden Zitats in das Editorfenster. Speichere die Datei anschließend unter dem Namen DelDomains.inf mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
2. Schließe den InternetExplorer.
3. Klicke die Datei DelDomains.inf mit der rechten Maustaste an und dann auf 'Installieren'.
---------------------------------------------------------------------------------------------------------


[version]
signature="$CHICAGO$"

[DefaultInstall]
DelReg=DelTemps
AddReg=AddTemps

[DelTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"

; Recreate the keys to avoid a restart

[AddTemps]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"
HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges"


-----------------------------------------------------------------------------------------

dann poste das neue Log vom HijackTHis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1