Home » Spyware & Browser Hijacker Support Forum » Virtual Maid ist penetrant - HJT Log » Themenansicht
Virtual Maid ist penetrant - HJT Log |
||
|---|---|---|
| #0
| ||
|
16.03.2005, 10:23
...neu hier
Beiträge: 2 |
||
 
|
|
|
|
16.03.2005, 12:35
Member
 Beiträge: 669 |
#2
System updaten:
Besuche unbedingt www.windowsupdate.com und update dein System sowie den Internet Explorer. Lade dazu alle Sicherheitsupdates herunter und installiere sie, wenn du aufgefordert wirst den PC neu zu starten, tu das. Besuche die Seite danach erneut und überprüfe wieder ob alle Sicherheitspatches installiert sind, wenn nicht: wieder alles installieren, gefolgt von Neustart und Check. Tu das solange bis keine Sicherheitspatches mehr verfügbar sind. Lade folgende Programme herunter und update sie: HijackThis (Anleitung zu HijackThis-Logs) http://www.hijackthis.de/downloads/hijackthis_199.zip CWShredder: http://cwshredder.net/bin/CWShredder.exe AdAware http://www.lavasoft.de/support/download/ Spybot S&D http://www.safer-networking.org/de/download/index.html eScan http://www.mwti.net/antivirus/free_utilities.asp Erster Schritt: Deaktiviere die Systemwiederherstellung (Arbeitsplatz => Rechtsklick => Eigenschaften). Nach erfolgter Reinigung des Systems nicht vergessen, wieder zu aktivieren! Diagnose und Vorbereinigung: Deaktiviere den Virenwächter, falls vorhanden, und führe mit AdAware und Spybot S&D im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten) einen vollständigen Systemscan durch. Markiere (Häkchen setzen) und lösche alle gefundenen kritischen Objekte (AdAware: "Next", Spybot S&D: "markierte Probleme beheben" drücken) (DSO Exploit im Spybot S&D kannst Du vernachlässigen, ist ein Bug im Programm. Wenn Du willst, kannst Du ihn mit dem Fix von hier beseitigen, ist für die Funktion von Spybot aber nicht notwendig). Lese dir aufmerksam die Informationen auf folgender Seite zu eScan durch: http://www.trojaner-info.de/hijacker/escan.shtml Update und scanne mit eScan entsprechend der Beschreibung für die Version 4.5.1 oder jünger von trojaner-info. Setze im eScan alle Häkchen, außer bei "Folder" und wähle bei "Drives" "All Local Drives" aus und ein paar Zeilen darunter "Scan All Files" anstelle von "Program Files". Drücke dann den Scan-Button um den Vorgang zu starten (das kann je nach Größe deiner Festplatten ziemlich lange dauern, aber unbedingt zu Ende scannen lassen und nicht abbrechen!). Lass dir danach das eScan-Log anzeigen und speichere es ab. Öffne es mit dem Editor und suche per Suchfunktion nach "infected". Kopiere alle betroffenen Zeilen vollständig und poste sie hier im Forum (kompletter Pfad + Datei, sowie Art der Infektion!) Virenwächter danach wieder aktivieren! HijackThis-Einträge: Weiterhin im abgesicherten Modus (Rechner neu starten und F8 drücken beim Booten): Scanne mit HijackThis und fixe folgende Einträge (Häkchen setzen und "fix checked" drücken) Zitat R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;smp*;*.kvnbw.deLöschen von temporären Dateien: Lösche alle Dateien in folgenden Verzeichnisen: C:\WINDOWS\Temp\ C:\Temp\ C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temp\ C:\Dokumente und Einstellungen\[dein Username]\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (lösche nicht die index.dat!) Erstelle danach ein neues HijackThis-Log und poste es zusammen mit den anderen angeforderten Informationen (eScan-Ergebnisse, unbekannte HijackThis-Einträge). __________ "life's a bitch, turn around and she'll backstab you for a buck." |
|
|
|
|
|
|
05.04.2005, 11:04
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo! Ich habe jetzt sämtliche Updates über das System laufen lassen und die genannten Virenprogramme ausprobiert. Beim eScan wurde folgendes Protokoll erstellt:
File C:\WINNT40\System32\srvc32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\System32\srvc32.exe infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\system32\msmsgs.exe infected by "Trojan-Downloader.Win32.Zlob.g" Virus. Action Taken: No Action Taken. File C:\WINNT40\System32\srvc32.exe infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\system32\MTC.dll infected by "Trojan-Downloader.Win32.Agent.ga" Virus. Action Taken: No Action Taken. File C:\WINNT40\system32\srdrv32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\system32\srvc32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\system32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-1382695838-1053895375-1221738049-1016\Dc12\Virtual Maid.dll infected by "not-a-virus:AdWare.ToolBar.MaidBar.a" Virus. Action Taken: No Action Taken. File C:\WINNT40\SYSTEM32\MTC.dll infected by "Trojan-Downloader.Win32.Agent.ga" Virus. Action Taken: No Action Taken. File C:\WINNT40\SYSTEM32\srdrv32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\SYSTEM32\srvc32.dll infected by "Trojan-Downloader.Win32.Small.aoa" Virus. Action Taken: No Action Taken. File C:\WINNT40\SYSTEM32\wldr.dll infected by "Trojan-Downloader.Win32.Agent.kf" Virus. Action Taken: No Action Taken. Leider konnte ich keinen der Trojaner löschen. Gibt es da noch ein spezielles Programm, welches das kann? Das Hijack-This-Protokoll sieht nun so aus: Logfile of HijackThis v1.99.1 Scan saved at 17:42:14, on 04.04.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT40\System32\smss.exe C:\WINNT40\system32\winlogon.exe C:\WINNT40\system32\services.exe C:\WINNT40\system32\lsass.exe C:\WINNT40\system32\svchost.exe C:\WINNT40\system32\spoolsv.exe C:\WINNT40\System32\svchost.exe C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe C:\Programme\CA\eTrust\InoculateIT\InoRT.exe C:\Programme\CA\eTrust\InoculateIT\InoTask.exe C:\WINNT40\LogWatNT.exe C:\WINNT40\System32\tcpsvcs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINNT40\system32\regsvc.exe C:\WINNT40\system32\MSTask.exe C:\WINNT40\System32\WBEM\WinMgmt.exe C:\WINNT40\system32\svchost.exe C:\WINNT40\Explorer.EXE C:\WINNT40\system32\helper.exe C:\Programme\Creative\ShareDLL\CtNotify.exe C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe C:\WINNT40\system32\ctfmon.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Creative\ShareDLL\MediaDet.Exe C:\WINNT40\system32\wuauclt.exe P:\Viren\1_99_1.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.174.254.12:80 -bekannt! R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;smp*;*.kvnbw.de -bekannt!F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINNT40\system32\wer8274.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT40\System32\msdxm.ocx O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe O4 - HKLM\..\RunOnce: [Local runole service] C:\WINNT40\System32\srvc32.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\RunOnce: [Local runole service] C:\WINNT40\System32\srvc32.exe O4 - Startup: REGISAFE IQ.lnk = REGISAFEIQ\IQProgramm\IQProdukte\REGISAFE\System\REGISAFE.exe-bekannt! O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} (Web Browser Applet Control) - http://www.aldi-sued.de/00_java O16 - DPF: {66549790-C640-5CE1-125B-7B78085993A6} - http://216.118.71.185/1/rdgDE1828.exe O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib186.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de-bekannt!O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB7CA0-74CF-4F73-BEBB-7E5DD56A5F31}: Domain = xxx.grafenau.bb.kdrs.de-bekannt! O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB7CA0-74CF-4F73-BEBB-7E5DD56A5F31}: NameServer = 10.170.0.2,10.170.100.160-bekannt! O17 - HKLM\System\CCS\Services\Tcpip\..\{C9A04431-092E-4012-AE6D-4C57D7355B36}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de-bekannt! O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de-bekannt! O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT40\System32\dmadmin.exe O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRT.exe O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoTask.exe O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT40\LogWatNT.exe Ich hoffe, ihr könnt mir nochmals helfen. Vielen Dank und viele Grüße, Dixi777 |
|
|
|
|
|
|
05.04.2005, 17:15
Ehrenmitglied
 Beiträge: 29434 |
#4
ich moechte mal wissen, wieso du zwei Threads fuer das gleiche problem eroeffnet hast.....
wenn du noch mehr eroeffnen solltest, wirst du keine Hilfe mehr finden  ---------------------------------------------------------------------------- http://board.protecus.de/t16575.htm Zitat
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich habe ein ganz dringendes Problem mit einer Startseite namens searchmaid.com und hoffe ihr könnt mir helfen. Ich habe schon sämtliche Registry-Einträge gelöscht und habe den HJT ausprobiert, aber die Seite kommt immer wieder. Bitte helft mir dabei herauszufinden, welche Einträge ich aus der log-Datei sonst noch löschen kann und welches Programm ihr sonst anwendet.
Logfile of HijackThis v1.99.1
Scan saved at 09:25:55, on 16.03.2005
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=364
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=364
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://10.174.254.12:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.*;smp*;*.kvnbw.de
F2 - REG:system.ini: Shell=explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Tubby - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINNT40\System32\MTC.dll
O3 - Toolbar: Search Toolbar - {9EAC0102-5E61-2312-BC2D-4D54434D5443} - C:\WINNT40\System32\MTC.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT40\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\Programme\Creative\Audio\PROGRAM\CTMIX32.EXE /t
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\eTrust\INOCUL~1\realmon.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT40\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [MSN Messenger] C:\WINNT40\System32\msmsgs.exe
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\RunOnce: [Local runole service] C:\WINNT40\System32\srvc32.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [drvddll.exe] C:\WINNT40\System32\drvddll.exe
O4 - HKCU\..\Run: [Express ClickYes] C:\Programme\Express ClickYes\ClickYes.exe
O4 - HKCU\..\RunOnce: [Local runole service] C:\WINNT40\System32\srvc32.exe
O4 - Startup: REGISAFE IQ.lnk = REGISAFEIQ\IQProgramm\IQProdukte\REGISAFE\System\REGISAFE.exe
O4 - Startup: Verknüpfung mit Posteingang.lnk = ?
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O13 - WWW. Prefix: http://
O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} (Web Browser Applet Control) - http://www.aldi-sued.de/00_java
O16 - DPF: {AE7E5F20-35C3-11D2-A16C-006008662F80} (Internet-Banking) - https://www.onlinebankservice.de/brokat/srwgib186.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB7CA0-74CF-4F73-BEBB-7E5DD56A5F31}: Domain = xxx.grafenau.bb.kdrs.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{96BB7CA0-74CF-4F73-BEBB-7E5DD56A5F31}: NameServer = 10.170.0.2,10.170.100.160
O17 - HKLM\System\CCS\Services\Tcpip\..\{C9A04431-092E-4012-AE6D-4C57D7355B36}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xxx.grafenau.bb.kdrs.de
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT40\System32\dmadmin.exe
O23 - Service: eTrust InoculateIT RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRpc.exe
O23 - Service: eTrust InoculateIT Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoRT.exe
O23 - Service: eTrust InoculateIT Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust\InoculateIT\InoTask.exe
O23 - Service: Event Log Watch (LogWatch) - Unknown owner - C:\WINNT40\LogWatNT.exe
Dankeschön,
Dixi777