Trojaner oder Virus ? Ungewollte Browserfenster öffnen sich!

#0
06.03.2005, 10:43
Member

Beiträge: 15
#1 Tag,
beim Besuch einer Internet Online Game Site, scheinen sich irgendwelche "pösen pösen" Trojaner eingenistet zu haben ;)

Norton hat sie nicht erkannt, McAfee Online Scan meldete den "Vundo" Trojaner und einen trojaner namens "Downloader-RK"

Habe schon alles probiert das Dingen wieder wegzukriegen.
Für den Vundo habe ich bein Symantec das Removal Tool gezogen, aber der findet nichts ?!

Evtl liegt noch mehr im argen ?

Hier mal das Logfile von Hijackthis:

Logfile of HijackThis v1.97.7
Scan saved at 10:02:25, on 06.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Grafikprogramme\FujifilmFoto\QuickDCF.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Sicherheit\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_16_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {64D01C7F-810D-446E-A07E-123464635644} (AtlAtomadersCtlAttrib Class) - http://i.grab.com/media/d09bf4/games/files/atomaders_gr.cab
O16 - DPF: {6FDB0065-2787-11D6-B1D8-0001023916FC} (CLOActiveXInstaller Control) - http://www.igl.net/clo/install/grab/CLOActiveXInstallerProj1.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/chedownzip.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4438/mcfscan.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_16_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10

So jetzt kommt mir aber bidde nicht mit Maschine plattmachen ;)

Panda Online meldet nach nem drittel durchlaufen grade mal 33 infizierte Dateien.

Und meine Freundin deren Computer das hier ist, sitzt grad neben mir, und knüpft sich schon mal ihren Strick, bzw. is grade dabei sich hinter den Zug werfen oder von der Teppichkante zu stürzen.

Udo
Seitenanfang Seitenende
06.03.2005, 12:04
Member
Avatar Malkesh

Beiträge: 669
#2 System updaten:

Besuche unbedingt www.windowsupdate.com und update dein System sowie den Internet Explorer.
Lade dazu alle Sicherheitsupdates herunter und installiere sie, wenn du aufgefordert wirst den PC neu zu starten, tu das. Besuche die Seite danach erneut und überprüfe wieder ob alle Sicherheitspatches installiert sind, wenn nicht: wieder alles installieren, gefolgt von Neustart und Check. Tu das solange bis keine Sicherheitspatches mehr verfügbar sind.


Lade folgende Programme herunter und update sie:

HijackThis 1.99.1 (Anleitung zu HijackThis-Logs)
http://www.hijackthis.de/downloads/hijackthis_199.zip
AdAware
http://www.lavasoft.de/support/download/
Spybot S&D
http://www.safer-networking.org/de/download/index.html
eScan
http://www.mwti.net/antivirus/free_utilities.asp


Erster Schritt:

Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren!


Löschen von ActiveX-Programmen:

Lösche alle Dateien in folgendem Verzeichnis:
C:\Windows\Downloaded Programm Files\


Diagnose und Vorbereinigung:

Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken)
(DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig).

Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch:
http://www.trojaner-info.de/hijacker/escan.shtml
Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info.

Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!).

Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!)
Virenwächter danach wieder aktivieren!


Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
06.03.2005, 19:03
Member

Themenstarter

Beiträge: 15
#3 So, hier die Ergebnisse von E-Scan:


Sun Mar 06 16:55:25 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:55:29 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:55:30 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:55:40 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:55:57 2005 => File C:\WINDOWS\System32\dVnim.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:57:23 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:57:23 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:57:30 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:57:30 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 16:57:31 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.
Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:07:04 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:07:05 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:07:11 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:07:11 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:07:12 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:16:13 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:29:12 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:31:17 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:32:10 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:36:12 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:36:18 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:37:24 2005 => File C:\WINDOWS\system32\dVnim.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:39:38 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

Sun Mar 06 17:39:38 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken.

Sun Mar 06 18:29:01 2005 => Total Virus(es) Found: 43
Sun Mar 06 18:29:01 2005 => Total Disinfected Files: 0
Sun Mar 06 18:29:01 2005 => Total Files Renamed: 0
Sun Mar 06 18:29:01 2005 => Total Deleted Files: 0
Sun Mar 06 18:29:01 2005 => Total Errors: 296


Und das neue Highjackthis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 18:51:45, on 06.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
D:\Grafikprogramme\FujifilmFoto\QuickDCF.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\kavss.exe
D:\Sicherheit\Hijackthis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab


E-Scan konnte ich nicht im abgesicherten Modus machen werden, da sich beim drücken der Taste F8 beim Hochfahren dummerweise immer das Bios öffnete, und nicht die Auswahl zum sicheren oder normalen Modus.
Dieser Beitrag wurde am 06.03.2005 um 19:12 Uhr von d-udo editiert.
Seitenanfang Seitenende
06.03.2005, 19:25
Member
Avatar Malkesh

Beiträge: 669
#4 Dann hast du F8 zu früh gedrückt. Nicht während dem BIOS-POST drücken, sondern kurz danach. ;)
Siehe dazu auch: http://www.tu-berlin.de/www/software/virus/savemode.shtml

Also, Scans bitte im abgesicherten Modus durchführen (siehst du die hohe Anzahl an Errors beim eScan-Log? Die können teilweise auch dadurch entstehen das im normalen Modus auf viele Dateien der Zugriff gesperrt ist)

Außerdem hab ich doch hingeschrieben, dass du das neue HijackThis benutzen sollst (ok, war wohl nicht deutlich genug ;)). Besorge dir bitte die neue Version (Link kannst du meinem ersten Post entnehmen!)


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
Scanne mit HijackThis 1.99.1 und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

R3 - Default URLSearchHook is missing
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
Erstelle danach bitte ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse).
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
06.03.2005, 22:22
Member

Themenstarter

Beiträge: 15
#5 Ok, also im abgesicherten Modus. Ad-Aware, Spybot sind gelaufen.Alles entfernt und hier der Escan und das Logfile von Hijackthis (neue Version):

Sun Mar 06 19:50:28 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:50:30 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:50:31 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:50:44 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:51:00 2005 => File C:\WINDOWS\System32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:53:05 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:53:05 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:53:14 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:53:14 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:53:16 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Sun Mar 06 19:58:57 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:05:58 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:05:59 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:06:07 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:06:07 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:06:09 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:19:34 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:20:22 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:20:22 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:20:23 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:24 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:24 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:38:20 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:41:10 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:42:12 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:47:03 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:47:13 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:47:59 2005 => File C:\WINDOWS\system32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:51:54 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

Sun Mar 06 20:51:54 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken.

Sun Mar 06 22:01:13 2005 => Total Virus(es) Found: 43
Sun Mar 06 22:01:13 2005 => Total Disinfected Files: 0
Sun Mar 06 22:01:13 2005 => Total Files Renamed: 0
Sun Mar 06 22:01:13 2005 => Total Deleted Files: 0
Sun Mar 06 22:01:13 2005 => Total Errors: 294


Hijackthis Logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:14:45, on 06.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\kavss.exe
D:\Sicherheit\Hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - Default URLSearchHook is missing
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\fp8s03l7e.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
06.03.2005, 23:15
Member
Avatar Malkesh

Beiträge: 669
#6 HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

R3 - Default URLSearchHook is missing
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O4 - Global Startup: Exif Launcher.lnk = ?
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\fp8s03l7e.dll
(nicht restarten, bleibe im abgesicherten Modus und mache dich ans löschen)

Löschen von Dateien:

Lösche (nicht nur in den Papierkorb) alle von eScan als infiziert gemeldeten Dateien, was sich nicht löschen lässt, beseitigst du mit der KillBox:

KillBox
http://www.bleepingcomputer.com/files/killbox.php

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die zu löschenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten
Auf diese Weise


Scanne danach bitte erneut mit AdAware, Spybot und eScan (abgesicherter Modus) und erstelle ein neues HijackThis-Log im normalen (nicht abgesicherten Modus)

Poste das HijackThis und eScan-Log (also Infektions-Meldungen)
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
07.03.2005, 21:52
Member

Themenstarter

Beiträge: 15
#7 So, guten Morgen erst mal,

also, hab alles wie beschrieben ausgeführt.
Was mir beim scannen mit Spybot aufgefallen ist, da tauchen immer wieder zwei Dinger Namens IGetNet und Common Hijacker auf. Ich entferne sie, aber sie sind jedes Mal wieder da.
Ansonsten hier das Logfile von Escan (im abgesicherten Modus):


Mon Mar 07 22:32:58 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:00 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:02 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:14 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:16 2005 => File C:\WINDOWS\System32\bItmeter.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:31 2005 => File C:\WINDOWS\System32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:33 2005 => File C:\WINDOWS\System32\dlsynth.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:36 2005 => File C:\WINDOWS\System32\dqcpcsvc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:40 2005 => File C:\WINDOWS\System32\en68l1ju1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:33:45 2005 => File C:\WINDOWS\System32\gskrsrc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:34:23 2005 => File C:\WINDOWS\System32\mv86l9ls1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:34:24 2005 => File C:\WINDOWS\System32\mxiwave.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:34:36 2005 => File C:\WINDOWS\System32\pvfmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:06 2005 => File C:\WINDOWS\System32\vbrsion.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:10 2005 => File C:\WINDOWS\System32\wG2topl.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:37 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:38 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:47 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:47 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:35:49 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:48:40 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:48:50 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:48:50 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 22:48:51 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:02:42 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:03:29 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:03:30 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:03:30 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:05:31 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken.


Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:21:32 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:24:20 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:25:23 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:30:14 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:30:24 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:30:27 2005 => File C:\WINDOWS\system32\bItmeter.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:31:11 2005 => File C:\WINDOWS\system32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:31:44 2005 => File C:\WINDOWS\system32\dlsynth.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:31:48 2005 => File C:\WINDOWS\system32\dqcpcsvc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:32:00 2005 => File C:\WINDOWS\system32\en68l1ju1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:32:06 2005 => File C:\WINDOWS\system32\gskrsrc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:33:00 2005 => File C:\WINDOWS\system32\mv86l9ls1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:33:00 2005 => File C:\WINDOWS\system32\mxiwave.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:33:25 2005 => File C:\WINDOWS\system32\pvfmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:34:19 2005 => File C:\WINDOWS\system32\vbrsion.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:34:33 2005 => File C:\WINDOWS\system32\wG2topl.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:35:08 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken.

Mon Mar 07 23:35:08 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken.

Tue Mar 08 00:44:22 2005 => Total Virus(es) Found: 63
Tue Mar 08 00:44:22 2005 => Total Disinfected Files: 0
Tue Mar 08 00:44:22 2005 => Total Files Renamed: 0
Tue Mar 08 00:44:22 2005 => Total Deleted Files: 0
Tue Mar 08 00:44:22 2005 => Total Errors: 294

Und hier das Hijackthis Logfile (nicht gesicherter Modus):

Logfile of HijackThis v1.99.1
Scan saved at 07:21:10, on 08.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Sicherheit\Hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mvjol9131.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Dieser Beitrag wurde am 08.03.2005 um 07:23 Uhr von d-udo editiert.
Seitenanfang Seitenende
08.03.2005, 15:55
Member
Avatar Malkesh

Beiträge: 669
#8 Hattest du die von eScan als infiziert gemeldeten Files gelöscht, wie oben beschrieben? Denn erstaunlicherweise scheint sich die Anzahl der Virenfunde bei dir vermehrt statt verringert zu haben. Die meisten Funde sehen genau gleich aus... Also bitte: => Löschen!


HijackThis-Einträge:

Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten):
Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken)

Zitat

O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mvjol9131.dll

__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
08.03.2005, 19:42
...neu hier

Beiträge: 2
#9 Ich hab fast das gleiche Problem wie udo, hab auch einen eigenen Thread aufgemacht, Problem ist nur, ich hab das gleiche gemacht wie er, doch kann ich weder im normalen noch im abgesicherten Modus diese Einträge die du gefixt haben willst fixen. Sie sind immer wieder da :-(


Gibts noch eine andere Möglichkeit die zu löschen?

Kannst ja mal in meinen Thread schauen <g>
Seitenanfang Seitenende
09.03.2005, 10:38
Member

Themenstarter

Beiträge: 15
#10 So, jetzt aber, also ich hatte schon alles gelöscht, aber wenn man zu dämlich ist, nur den Pfad einzugeben und den Mist der dahinter stand auch noch mit reinpackt, kann das ja nicht funktionieren. ;-)

Aber es scheint geklappt zu heben.
Ad-Aware und Spybot waren (im abgesicherten Modus) sauber.
Das Escan Logfile (abgesicherter Modus) hat nach der Suche nach "infected" nichts rausgespuckt.
Nur dies hier angezeigt:


Wed Mar 09 09:30:00 2005 => Total Files Scanned: 102544
Wed Mar 09 09:30:00 2005 => Total Virus(es) Found: 9
Wed Mar 09 09:30:00 2005 => Total Disinfected Files: 0

Hier noch das Hijack-Logfile (nicht gesicheter Modus):

Logfile of HijackThis v1.99.1
Scan saved at 10:55:48, on 09.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
D:\Sicherheit\Hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\ktrol7931.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Ich hoffe, dass jetzt das schlimmste überstanden ist. Der Escan zeigt ja noch was an. Jedenfalls werde ich künftig den IE und Norton in die Tonne kloppen. Scheint nix zu taugen. ;-)

Gib mir doch kurz Bescheid, ob noch was zu tun ist.
Möchte ganz sicher gehen.
Danke.
Dieser Beitrag wurde am 09.03.2005 um 11:05 Uhr von d-udo editiert.
Seitenanfang Seitenende
09.03.2005, 12:18
Member
Avatar Malkesh

Beiträge: 669
#11 Sieht schonmal einiges besser aus jedenfalls. Versuche bitte noch herauszufinden welche 9 Viren der eScan genau gefunden hat (Pfad, Art des Virus etc) - Hast hoffentlich noch das Logfile, denn irgendwas ist ganz offensichtlich noch auf deinem System, auch wenn es fürs erste schonmal viel übersichtlicher aussieht!

Des weiteren überprüfe diese Datei:
C:\WINDOWS\system32\ktrol7931.dll (siehe HijackThis-Log: O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\ktrol7931.dll)
indem du sie hier hochlädst und durchscannen lässt:
http://virusscan.jotti.org/
Poste das Ergebnis des Scans bitte.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
09.03.2005, 21:57
Member

Themenstarter

Beiträge: 15
#12 So, hier der Escan mit den restlichen 4 Viren, die ich gefunden habe, zudem zeigte er am Ende 294 Total Errors an::

C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-3a6f6db5-202e2043.zip

C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-2e1fbe75-786c5c0b.zip

C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-450fb3f8-21b4b8bd.zip

C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\high_roller.jar-21a646b2-1c8f826f.zip

Und hier das Hijacklog:

Logfile of HijackThis v1.99.1
Scan saved at 22:13:51, on 10.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
D:\Sicherheit\Hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10
O20 - AppInit_DLLs: hplun.dll
O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mv6ql9j51.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Diese drei O1 Teile sind immer wieder da und das O20 ist auch immer wieder vorhanden, ändert aber ständig seinen Namen. Was nun tun?
Dieser Beitrag wurde am 10.03.2005 um 22:16 Uhr von d-udo editiert.
Seitenanfang Seitenende
11.03.2005, 02:30
Member
Avatar Malkesh

Beiträge: 669
#13 Zunächst einmal lösche die 4 funde von eScan, welche in den *.zip Archiven stecken. Aber bitte gib vorher an mit was sie infiziert sind!


Löschen von temporären Dateien:
Gehe auf "Start -> Ausführen -> gebe ein: "cleanmgr"
Wähle aus: deine Systempartition (Standardmäßig C:) -> Ok drücken
Den nachfolgenden Systemscan abwarten.
Aus der nachfolgenden Liste wähle aus:
Temporäre Internetdateien
Temporäre Dateien
bestätige danach mit OK


Lade dir noch folgendes Programm herunter:
http://cwshredder.net/bin/CWShredder.exe
und scanne damit dein System (Wenn er fündig wird, bitte wie immer melden!)


Hatte der jotti-Scan etwas ausgespuckt?

Zitat

Des weiteren überprüfe diese Datei:
C:\WINDOWS\system32\ktrol7931.dll (siehe HijackThis-Log: O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\ktrol7931.dll)
indem du sie hier hochlädst und durchscannen lässt:
http://virusscan.jotti.org/
Poste das Ergebnis des Scans bitte.
Wenn du diese Datei bereits gelöscht hast, mache es nun mit dieser Datei:
C:\WINDOWS\system32\mv6ql9j51.dll
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Dieser Beitrag wurde am 11.03.2005 um 02:51 Uhr von Malkesh editiert.
Seitenanfang Seitenende
12.03.2005, 23:32
Member

Themenstarter

Beiträge: 15
#14 So, wieder mal nach stundenlanger Arbeit.
F...Norton habe ich runtergehauen.
Jetzt ist Kaspersky Antivirus und ne Sygate Firewall drauf.
Nach intensiven Nutzen von Kaspersky, Ad-Aware, Spybot, CW Shredder sowie dem Proggi SpySubtract, zeigt Spybot den CommonHijacker nun nicht mehr an.
hier mal das Logfile von Hijackthis:



Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\InterMute\SpySubtract\SpySub.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Sicherheit\Hijackthis2\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10
O20 - AppInit_DLLs: hplun.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was den letzten Punkt anbelangt, weiss ich jetzt auch nicht so Bescheid, da ich den Norton eigentlich komplett deinstalliert habe. Ich denke das dürfte aber nichts ausmachen

Werft doch einfach nochmal nen Blick drauf, ob es jetzt einigermaßen sauber ist.

Im Namen von Andrea und auch mir, sag ich schon mal Vielen Herzlichen Dank für die erwiesene Hilfe !;)

Gruß
Udo
Dieser Beitrag wurde am 12.03.2005 um 23:33 Uhr von d-udo editiert.
Seitenanfang Seitenende
12.03.2005, 23:41
Member
Avatar Malkesh

Beiträge: 669
#15 Dein Log sieht soweit sauber aus, sehr schön.

Zu deinem Norton Problem:
http://board.protecus.de/t13883.htm

Versuche es mal mit dem Tool aus diesem Thread.
__________
"life's a bitch, turn around and she'll backstab you for a buck."
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: