Trojaner oder Virus ? Ungewollte Browserfenster öffnen sich! |
||
---|---|---|
#0
| ||
06.03.2005, 10:43
Member
Beiträge: 15 |
||
|
||
06.03.2005, 12:04
Member
Beiträge: 669 |
#2
System updaten:
Besuche unbedingt www.windowsupdate.com und update dein System sowie den Internet Explorer. Lade dazu alle Sicherheitsupdates herunter und installiere sie, wenn du aufgefordert wirst den PC neu zu starten, tu das. Besuche die Seite danach erneut und überprüfe wieder ob alle Sicherheitspatches installiert sind, wenn nicht: wieder alles installieren, gefolgt von Neustart und Check. Tu das solange bis keine Sicherheitspatches mehr verfügbar sind. Lade folgende Programme herunter und update sie: HijackThis 1.99.1 (Anleitung zu HijackThis-Logs) http://www.hijackthis.de/downloads/hijackthis_199.zip AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Löschen von ActiveX-Programmen: Lösche alle Dateien in folgendem Verzeichnis: C:\Windows\Downloaded Programm Files\ Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
06.03.2005, 19:03
Member
Themenstarter Beiträge: 15 |
#3
So, hier die Ergebnisse von E-Scan:
Sun Mar 06 16:55:25 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Sun Mar 06 16:55:29 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 16:55:30 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Sun Mar 06 16:55:40 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Sun Mar 06 16:55:57 2005 => File C:\WINDOWS\System32\dVnim.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Sun Mar 06 16:57:23 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Sun Mar 06 16:57:23 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken. Sun Mar 06 16:57:30 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 16:57:30 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 16:57:31 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Sun Mar 06 17:07:04 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Sun Mar 06 17:07:05 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken. Sun Mar 06 17:07:11 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:07:11 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:07:12 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Sun Mar 06 17:16:13 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:16:47 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Sun Mar 06 17:17:36 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 17:29:12 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Sun Mar 06 17:31:17 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 17:32:10 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Sun Mar 06 17:36:12 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Sun Mar 06 17:36:18 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Sun Mar 06 17:37:24 2005 => File C:\WINDOWS\system32\dVnim.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Sun Mar 06 17:39:38 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken. Sun Mar 06 17:39:38 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken. Sun Mar 06 18:29:01 2005 => Total Virus(es) Found: 43 Sun Mar 06 18:29:01 2005 => Total Disinfected Files: 0 Sun Mar 06 18:29:01 2005 => Total Files Renamed: 0 Sun Mar 06 18:29:01 2005 => Total Deleted Files: 0 Sun Mar 06 18:29:01 2005 => Total Errors: 296 Und das neue Highjackthis Logfile: Logfile of HijackThis v1.97.7 Scan saved at 18:51:45, on 06.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE D:\Grafikprogramme\FujifilmFoto\QuickDCF.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\kavss.exe D:\Sicherheit\Hijackthis\HijackThis.exe C:\Programme\Messenger\msmsgs.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R3 - Default URLSearchHook is missing O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Exif Launcher.lnk = ? O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab E-Scan konnte ich nicht im abgesicherten Modus machen werden, da sich beim drücken der Taste F8 beim Hochfahren dummerweise immer das Bios öffnete, und nicht die Auswahl zum sicheren oder normalen Modus. Dieser Beitrag wurde am 06.03.2005 um 19:12 Uhr von d-udo editiert.
|
|
|
||
06.03.2005, 19:25
Member
Beiträge: 669 |
#4
Dann hast du F8 zu früh gedrückt. Nicht während dem BIOS-POST drücken, sondern kurz danach.
Siehe dazu auch: http://www.tu-berlin.de/www/software/virus/savemode.shtml Also, Scans bitte im abgesicherten Modus durchführen (siehst du die hohe Anzahl an Errors beim eScan-Log? Die können teilweise auch dadurch entstehen das im normalen Modus auf viele Dateien der Zugriff gesperrt ist) Außerdem hab ich doch hingeschrieben, dass du das neue HijackThis benutzen sollst (ok, war wohl nicht deutlich genug ). Besorge dir bitte die neue Version (Link kannst du meinem ersten Post entnehmen!) HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): Scanne mit HijackThis 1.99.1 und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat R3 - Default URLSearchHook is missingErstelle danach bitte ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
06.03.2005, 22:22
Member
Themenstarter Beiträge: 15 |
#5
Ok, also im abgesicherten Modus. Ad-Aware, Spybot sind gelaufen.Alles entfernt und hier der Escan und das Logfile von Hijackthis (neue Version):
Sun Mar 06 19:50:28 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Sun Mar 06 19:50:30 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 19:50:31 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Sun Mar 06 19:50:44 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Sun Mar 06 19:51:00 2005 => File C:\WINDOWS\System32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Sun Mar 06 19:53:05 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Sun Mar 06 19:53:05 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken. Sun Mar 06 19:53:14 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 19:53:14 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 19:53:16 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Sun Mar 06 19:58:57 2005 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Sun Mar 06 20:05:58 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Sun Mar 06 20:05:59 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken. Sun Mar 06 20:06:07 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:06:07 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:06:09 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Sun Mar 06 20:19:34 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:20:22 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 20:20:22 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:20:23 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:24 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:24 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Sun Mar 06 20:22:25 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Sun Mar 06 20:38:20 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Sun Mar 06 20:41:10 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Sun Mar 06 20:42:12 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Sun Mar 06 20:47:03 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Sun Mar 06 20:47:13 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Sun Mar 06 20:47:59 2005 => File C:\WINDOWS\system32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Sun Mar 06 20:51:54 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken. Sun Mar 06 20:51:54 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken. Sun Mar 06 22:01:13 2005 => Total Virus(es) Found: 43 Sun Mar 06 22:01:13 2005 => Total Disinfected Files: 0 Sun Mar 06 22:01:13 2005 => Total Files Renamed: 0 Sun Mar 06 22:01:13 2005 => Total Deleted Files: 0 Sun Mar 06 22:01:13 2005 => Total Errors: 294 Hijackthis Logfile Logfile of HijackThis v1.99.1 Scan saved at 22:14:45, on 06.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\mwavscan.com C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\kavss.exe D:\Sicherheit\Hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R3 - Default URLSearchHook is missing O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Exif Launcher.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O20 - AppInit_DLLs: hplun.dll O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\fp8s03l7e.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe |
|
|
||
06.03.2005, 23:15
Member
Beiträge: 669 |
#6
HijackThis-Einträge:
Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat R3 - Default URLSearchHook is missing(nicht restarten, bleibe im abgesicherten Modus und mache dich ans löschen) Löschen von Dateien: Lösche (nicht nur in den Papierkorb) alle von eScan als infiziert gemeldeten Dateien, was sich nicht löschen lässt, beseitigst du mit der KillBox: KillBox http://www.bleepingcomputer.com/files/killbox.php Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die zu löschenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usw. bis zur letzten Datei, dann mit "yes" antworten Auf diese Weise Scanne danach bitte erneut mit AdAware, Spybot und eScan (abgesicherter Modus) und erstelle ein neues HijackThis-Log im normalen (nicht abgesicherten Modus) Poste das HijackThis und eScan-Log (also Infektions-Meldungen) __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
07.03.2005, 21:52
Member
Themenstarter Beiträge: 15 |
#7
So, guten Morgen erst mal,
also, hab alles wie beschrieben ausgeführt. Was mir beim scannen mit Spybot aufgefallen ist, da tauchen immer wieder zwei Dinger Namens IGetNet und Common Hijacker auf. Ich entferne sie, aber sie sind jedes Mal wieder da. Ansonsten hier das Logfile von Escan (im abgesicherten Modus): Mon Mar 07 22:32:58 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:00 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:02 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:14 2005 => File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:16 2005 => File C:\WINDOWS\System32\bItmeter.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:31 2005 => File C:\WINDOWS\System32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:33 2005 => File C:\WINDOWS\System32\dlsynth.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:36 2005 => File C:\WINDOWS\System32\dqcpcsvc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:40 2005 => File C:\WINDOWS\System32\en68l1ju1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:33:45 2005 => File C:\WINDOWS\System32\gskrsrc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:34:23 2005 => File C:\WINDOWS\System32\mv86l9ls1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:34:24 2005 => File C:\WINDOWS\System32\mxiwave.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:34:36 2005 => File C:\WINDOWS\System32\pvfmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:06 2005 => File C:\WINDOWS\System32\vbrsion.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:10 2005 => File C:\WINDOWS\System32\wG2topl.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:37 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:38 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:47 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:47 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 22:35:49 2005 => File C:\DOKUME~1\GAGABR~1\LOKALE~1\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Megasearch.zip infected by "Password-protected-EXE" Virus. Action Taken: No Action Taken. Mon Mar 07 22:48:40 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\bw2.com infected by "Trojan-Dropper.Win32.Small.ru" Virus. Action Taken: No Action Taken. Mon Mar 07 22:48:50 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD3.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 22:48:50 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\ICD4.tmp\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 22:48:51 2005 => File C:\Dokumente und Einstellungen\Gagabraut\Lokale Einstellungen\Temp\iinstall.exe infected by "Trojan-Downloader.Win32.IstBar.gen" Virus. Action Taken: No Action Taken. Mon Mar 07 23:02:42 2005 => File C:\Programme\QuickSearch\QuickSearchBar1_27.dll infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Mar 07 23:03:29 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\NNEZTB388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Mar 07 23:03:30 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\TBEZB127Q.exe infected by "not-a-virus:AdWare.ToolBar.Quick.a" Virus. Action Taken: No Action Taken. Mon Mar 07 23:03:30 2005 => File C:\Programme\UselessCreations\BTTF3DSetup.exe\WUSV-SYNCmInst.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:31 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1018.dll infected by "not-a-virus:AdWare.Gator.1018" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\HDPlugin1019.dll infected by "not-a-virus:AdWare.Gator.1019" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.1\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\CONFLICT.2\HDPlugin1015.dll infected by "not-a-virus:AdWare.Gator.1015" Virus. Action Taken: No Action Taken. Mon Mar 07 23:05:32 2005 => File C:\WINDOWS\Downloaded Program Files\installer_MEDIAWHIZ3.exe infected by "Trojan-Downloader.Win32.Adload.a" Virus. Action Taken: No Action Taken. Mon Mar 07 23:21:32 2005 => File C:\WINDOWS\icont.exe infected by "not-a-virus:AdWare.AdURL.c" Virus. Action Taken: No Action Taken. Mon Mar 07 23:24:20 2005 => File C:\WINDOWS\NDNuninstall6_22.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken. Mon Mar 07 23:25:23 2005 => File C:\WINDOWS\prelimhanse.exe infected by "not-a-virus:AdWare.WebHancer" Virus. Action Taken: No Action Taken. Mon Mar 07 23:30:14 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.r" Virus. Action Taken: No Action Taken. Mon Mar 07 23:30:24 2005 => File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken. Mon Mar 07 23:30:27 2005 => File C:\WINDOWS\system32\bItmeter.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:31:11 2005 => File C:\WINDOWS\system32\dcnmpntw.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:31:44 2005 => File C:\WINDOWS\system32\dlsynth.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:31:48 2005 => File C:\WINDOWS\system32\dqcpcsvc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:32:00 2005 => File C:\WINDOWS\system32\en68l1ju1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:32:06 2005 => File C:\WINDOWS\system32\gskrsrc.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:33:00 2005 => File C:\WINDOWS\system32\mv86l9ls1.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:33:00 2005 => File C:\WINDOWS\system32\mxiwave.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:33:25 2005 => File C:\WINDOWS\system32\pvfmgr.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:34:19 2005 => File C:\WINDOWS\system32\vbrsion.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:34:33 2005 => File C:\WINDOWS\system32\wG2topl.dll infected by "not-a-virus:AdWare.Look2Me.u" Virus. Action Taken: No Action Taken. Mon Mar 07 23:35:08 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_MTE1Mzc6ODoxMg1.exe infected by "not-a-virus:AdWare.ToolBar.ISearch.d" Virus. Action Taken: No Action Taken. Mon Mar 07 23:35:08 2005 => File C:\~BCWipe.stu\Dokumente und Einstellungen_Gagabraut_n200503081.exe infected by "not-a-virus:AdWare.EZula.ah" Virus. Action Taken: No Action Taken. Tue Mar 08 00:44:22 2005 => Total Virus(es) Found: 63 Tue Mar 08 00:44:22 2005 => Total Disinfected Files: 0 Tue Mar 08 00:44:22 2005 => Total Files Renamed: 0 Tue Mar 08 00:44:22 2005 => Total Deleted Files: 0 Tue Mar 08 00:44:22 2005 => Total Errors: 294 Und hier das Hijackthis Logfile (nicht gesicherter Modus): Logfile of HijackThis v1.99.1 Scan saved at 07:21:10, on 08.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Sicherheit\Hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10 O20 - AppInit_DLLs: hplun.dll O20 - Winlogon Notify: ModuleUsage - C:\WINDOWS\system32\mvjol9131.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Dieser Beitrag wurde am 08.03.2005 um 07:23 Uhr von d-udo editiert.
|
|
|
||
08.03.2005, 15:55
Member
Beiträge: 669 |
#8
Hattest du die von eScan als infiziert gemeldeten Files gelöscht, wie oben beschrieben? Denn erstaunlicherweise scheint sich die Anzahl der Virenfunde bei dir vermehrt statt verringert zu haben. Die meisten Funde sehen genau gleich aus... Also bitte: => Löschen!
HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat O1 - Hosts: 69.20.16.183 auto.search.msn.com __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
08.03.2005, 19:42
...neu hier
Beiträge: 2 |
#9
Ich hab fast das gleiche Problem wie udo, hab auch einen eigenen Thread aufgemacht, Problem ist nur, ich hab das gleiche gemacht wie er, doch kann ich weder im normalen noch im abgesicherten Modus diese Einträge die du gefixt haben willst fixen. Sie sind immer wieder da :-(
Gibts noch eine andere Möglichkeit die zu löschen? Kannst ja mal in meinen Thread schauen <g> |
|
|
||
09.03.2005, 10:38
Member
Themenstarter Beiträge: 15 |
#10
So, jetzt aber, also ich hatte schon alles gelöscht, aber wenn man zu dämlich ist, nur den Pfad einzugeben und den Mist der dahinter stand auch noch mit reinpackt, kann das ja nicht funktionieren. ;-)
Aber es scheint geklappt zu heben. Ad-Aware und Spybot waren (im abgesicherten Modus) sauber. Das Escan Logfile (abgesicherter Modus) hat nach der Suche nach "infected" nichts rausgespuckt. Nur dies hier angezeigt: Wed Mar 09 09:30:00 2005 => Total Files Scanned: 102544 Wed Mar 09 09:30:00 2005 => Total Virus(es) Found: 9 Wed Mar 09 09:30:00 2005 => Total Disinfected Files: 0 Hier noch das Hijack-Logfile (nicht gesicheter Modus): Logfile of HijackThis v1.99.1 Scan saved at 10:55:48, on 09.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe D:\Sicherheit\Hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O20 - AppInit_DLLs: hplun.dll O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\ktrol7931.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Ich hoffe, dass jetzt das schlimmste überstanden ist. Der Escan zeigt ja noch was an. Jedenfalls werde ich künftig den IE und Norton in die Tonne kloppen. Scheint nix zu taugen. ;-) Gib mir doch kurz Bescheid, ob noch was zu tun ist. Möchte ganz sicher gehen. Danke. Dieser Beitrag wurde am 09.03.2005 um 11:05 Uhr von d-udo editiert.
|
|
|
||
09.03.2005, 12:18
Member
Beiträge: 669 |
#11
Sieht schonmal einiges besser aus jedenfalls. Versuche bitte noch herauszufinden welche 9 Viren der eScan genau gefunden hat (Pfad, Art des Virus etc) - Hast hoffentlich noch das Logfile, denn irgendwas ist ganz offensichtlich noch auf deinem System, auch wenn es fürs erste schonmal viel übersichtlicher aussieht!
Des weiteren überprüfe diese Datei: C:\WINDOWS\system32\ktrol7931.dll (siehe HijackThis-Log: O20 - Winlogon Notify: Dynamic Directory - C:\WINDOWS\system32\ktrol7931.dll) indem du sie hier hochlädst und durchscannen lässt: http://virusscan.jotti.org/ Poste das Ergebnis des Scans bitte. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
09.03.2005, 21:57
Member
Themenstarter Beiträge: 15 |
#12
So, hier der Escan mit den restlichen 4 Viren, die ich gefunden habe, zudem zeigte er am Ende 294 Total Errors an::
C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\chainz.jar-3a6f6db5-202e2043.zip C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-2e1fbe75-786c5c0b.zip C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\equilibrium.jar-450fb3f8-21b4b8bd.zip C:\Dokumente und Einstellungen\Gagabraut\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\high_roller.jar-21a646b2-1c8f826f.zip Und hier das Hijacklog: Logfile of HijackThis v1.99.1 Scan saved at 22:13:51, on 10.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Explorer.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE D:\Sicherheit\Hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10 O20 - AppInit_DLLs: hplun.dll O20 - Winlogon Notify: Control Panel - C:\WINDOWS\system32\mv6ql9j51.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Diese drei O1 Teile sind immer wieder da und das O20 ist auch immer wieder vorhanden, ändert aber ständig seinen Namen. Was nun tun? Dieser Beitrag wurde am 10.03.2005 um 22:16 Uhr von d-udo editiert.
|
|
|
||
11.03.2005, 02:30
Member
Beiträge: 669 |
#13
Zunächst einmal lösche die 4 funde von eScan, welche in den *.zip Archiven stecken. Aber bitte gib vorher an mit was sie infiziert sind!
Löschen von temporären Dateien: Gehe auf "Start -> Ausführen -> gebe ein: "cleanmgr" Wähle aus: deine Systempartition (Standardmäßig C:) -> Ok drücken Den nachfolgenden Systemscan abwarten. Aus der nachfolgenden Liste wähle aus: Temporäre Internetdateien Temporäre Dateien bestätige danach mit OK Lade dir noch folgendes Programm herunter: http://cwshredder.net/bin/CWShredder.exe und scanne damit dein System (Wenn er fündig wird, bitte wie immer melden!) Hatte der jotti-Scan etwas ausgespuckt? Zitat Des weiteren überprüfe diese Datei:Wenn du diese Datei bereits gelöscht hast, mache es nun mit dieser Datei: C:\WINDOWS\system32\mv6ql9j51.dll __________ "life's a bitch, turn around and she'll backstab you for a buck." Dieser Beitrag wurde am 11.03.2005 um 02:51 Uhr von Malkesh editiert.
|
|
|
||
12.03.2005, 23:32
Member
Themenstarter Beiträge: 15 |
#14
So, wieder mal nach stundenlanger Arbeit.
F...Norton habe ich runtergehauen. Jetzt ist Kaspersky Antivirus und ne Sygate Firewall drauf. Nach intensiven Nutzen von Kaspersky, Ad-Aware, Spybot, CW Shredder sowie dem Proggi SpySubtract, zeigt Spybot den CommonHijacker nun nicht mehr an. hier mal das Logfile von Hijackthis: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Messenger\msmsgs.exe C:\Program Files\InterMute\SpySubtract\SpySub.exe C:\WINDOWS\system32\crypserv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wuauclt.exe D:\Sicherheit\Hijackthis2\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: SpySubtract.lnk = C:\Program Files\InterMute\SpySubtract\SpySub.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_01\bin\npjpi142_01.dll O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10 O20 - AppInit_DLLs: hplun.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Was den letzten Punkt anbelangt, weiss ich jetzt auch nicht so Bescheid, da ich den Norton eigentlich komplett deinstalliert habe. Ich denke das dürfte aber nichts ausmachen Werft doch einfach nochmal nen Blick drauf, ob es jetzt einigermaßen sauber ist. Im Namen von Andrea und auch mir, sag ich schon mal Vielen Herzlichen Dank für die erwiesene Hilfe ! Gruß Udo Dieser Beitrag wurde am 12.03.2005 um 23:33 Uhr von d-udo editiert.
|
|
|
||
12.03.2005, 23:41
Member
Beiträge: 669 |
#15
Dein Log sieht soweit sauber aus, sehr schön.
Zu deinem Norton Problem: http://board.protecus.de/t13883.htm Versuche es mal mit dem Tool aus diesem Thread. __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
||
beim Besuch einer Internet Online Game Site, scheinen sich irgendwelche "pösen pösen" Trojaner eingenistet zu haben
Norton hat sie nicht erkannt, McAfee Online Scan meldete den "Vundo" Trojaner und einen trojaner namens "Downloader-RK"
Habe schon alles probiert das Dingen wieder wegzukriegen.
Für den Vundo habe ich bein Symantec das Removal Tool gezogen, aber der findet nichts ?!
Evtl liegt noch mehr im argen ?
Hier mal das Logfile von Hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 10:02:25, on 06.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Messenger\msmsgs.exe
D:\Grafikprogramme\FujifilmFoto\QuickDCF.exe
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
D:\Sicherheit\Hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
R3 - Default URLSearchHook is missing
O1 - Hosts: 69.20.16.183 ieautosearch
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: QuickSearch Search Bar - {82315A18-6CFB-44a7-BDFD-90E36537C252} - C:\Programme\QuickSearch\QuickSearchBar1_27.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_3_16_0.dll
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [VBundleOuterDL] C:\Programme\VBouncer\BundleOuter.EXE
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Exif Launcher.lnk = ?
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {00000000-7777-0704-0B53-2C8830E9FAEC} - http://gn.one2bill.de/soft/axload.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F98} (CR64Loader Object) - http://www.miniclip.com/bestfriends/retro64_loader.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {64D01C7F-810D-446E-A07E-123464635644} (AtlAtomadersCtlAttrib Class) - http://i.grab.com/media/d09bf4/games/files/atomaders_gr.cab
O16 - DPF: {6FDB0065-2787-11D6-B1D8-0001023916FC} (CLOActiveXInstaller Control) - http://www.igl.net/clo/install/grab/CLOActiveXInstallerProj1.cab
O16 - DPF: {771A1334-6B08-4A6B-AEDC-CF994BA2CEBE} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://game11.zylomgames.com/activex/zylomloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DDFFA75A-E81D-4454-89FC-B9FD0631E726} - http://www.bundleware.com/activeX/BM2/BM2.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/popcaploader_v5.cab
O16 - DPF: {E0CE16CB-741C-4B24-8D04-A817856E07F4} (IObjSafety.DemoCtl) - http://cabs.roings.com/cabs/chedownzip.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4438/mcfscan.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_3_16_0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D77939B-D32C-44CC-9988-2329D258B87C}: NameServer = 213.148.129.10 213.148.130.10
So jetzt kommt mir aber bidde nicht mit Maschine plattmachen
Panda Online meldet nach nem drittel durchlaufen grade mal 33 infizierte Dateien.
Und meine Freundin deren Computer das hier ist, sitzt grad neben mir, und knüpft sich schon mal ihren Strick, bzw. is grade dabei sich hinter den Zug werfen oder von der Teppichkante zu stürzen.
Udo