*http://searchmiracle.com/sp.php**http://69.20.56.3/yyy6.htm* |
||
---|---|---|
#0
| ||
22.03.2005, 15:31
...neu hier
Beiträge: 2 |
||
|
||
23.03.2005, 14:05
Ehrenmitglied
Beiträge: 29434 |
#2
Hallo@hgomespere
HijackThis http://www.downloads.subratam.org/hijackthis.zip http://www.spywareinfo.com/~merijn/files/hijackthis.zip Lade/entpacke HijackThis in einem Ordner -->None of the above, just start the program --> Save--> Savelog -->es öffnet sich der Editor --> nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" + •StartupList 1.20 http://bilder.informationsarchiv.net/Nikitas_Tools/ klicke : startuplist.exe und kopiere die startuplist.txt ind Forum __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
23.03.2005, 20:41
...neu hier
Themenstarter Beiträge: 2 |
#3
Mittlerweile hab ich ein paar sachen gelöscht bzw hatte Hilfe ... Ich benutze jetzt Mozilla Firefox ... was mich wundert ist das ich heute mal nebenbei ne std online gespielt hatte und als ich dann fertig war und alles beendete waren auf einmal 5-10 werbefenster offen obwohl kein browser aktiv war.???
Dann hab ich heute wieder zwei meldungen von Antivir bekommen: 1) Enthält Signatur des HTML-Scriptvirus HTML/Expl.lframeBof2 2) Trojanische Pferd TR/Dldr.Agent.KL hier das neue Log (unten das alte log von gestern vor der säuberung) Logfile of HijackThis v1.99.1 Scan saved at 20:36:00, on 23.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Hakan.GOMES-9U88O71SN\Lokale Einstellungen\Temp\Temporäres Verzeichnis 10 für hijackthis_199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemkw32.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971CanadaInc/ie/bridge-c267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9A69D8C1-CF77-4E52-B93A-0A8A0402253C}: NameServer = 195.50.140.252 145.253.2.75 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe ******************************************************** hier das alte vor der säuberung Logfile of HijackThis v1.99.1 Scan saved at 21:44:48, on 22.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss. exe C:\WINDOWS\system32\winlo gon.exe C:\WINDOWS\system32\servi ces.exe C:\WINDOWS\system32\lsass .exe C:\WINDOWS\system32\svcho st.exe C:\WINDOWS\System32\svcho st.exe C:\WINDOWS\system32\spool sv.exe C:\WINDOWS\Explorer.EXE C:\Programme\MSN Apps\Updater\01.02.3000.1 001\de\msnappau.exe C:\WINDOWS\System32\RUNDL L32.EXE C:\Programme\AVPersonal\A VGNT.EXE C:\WINDOWS\System32\ctfmo n.exe C:\Programme\AVPersonal\A VGUARD.EXE C:\Programme\AVPersonal\A VWUPSRV.EXE C:\WINDOWS\System32\nvsvc 32.exe C:\WINDOWS\System32\svcho st.exe C:\WINDOWS\System32\wuauc lt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Hakan.GOMES -9U88O71SN\Lokale Einstellungen\Temp\Tempor äres Verzeichnis 2 für hijackthis_199.zip\Hijack This.exe R1 - HKCU\Software\Microsoft\I nternet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\I nternet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\I nternet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\I nternet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\E liteToolBar version 60.dll O2 - BHO: &EliteSideBar - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - C:\WINDOWS\EliteSideBar\E liteSideBar 08.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\E liteToolBar version 60.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroC heck.exe O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1 001\de\msnappau.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl .dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcT ray.dll,NvTaskbarInit O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elite mkw32.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\A VGNT.EXE" /min O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmo n.exe O4 - HKCU\..\Run: [Steam] "c:\valve\steam\steam.exe" -silent O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.ht m O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.ht m O12 - Plugin for .PDF: C:\Programme\Internet Explorer\PLUGINS\nppdf32. dll O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: v3cab - http://searchmiracle.com/cab/8.cab O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6...bridge-c267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloa dControl Class) - http://messenger.msn.com/download/m...ownload er.cab O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://install.power-url.de/Install...Assistent.oc x O17 - HKLM\System\CCS\Services\ Tcpip\..\{9A69D8C1-CF77-4E52-B93A-0A8A0402253C}: NameServer = 195.50.140.252 145.253.2.75 O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\A VGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\A VWUPSRV.EXE |
|
|
||
24.03.2005, 11:13
Ehrenmitglied
Beiträge: 29434 |
#4
Hallo@hgomespere
Gehe in die Registry Start<Ausfuehren<regedit HKCU\Software\LQ<--mit rechtsklick loeschen HKLM\Software\ohbbackup <--mit rechtsklick loeschen HKLM\Software\Elitum <--mit rechtsklick loeschen schliesse die Registry Deaktivieren Wiederherstellung «XP Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder) Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen http://virusscan.jotti.org/ C:\windows\system32\elitemkw32.exe (oder eine andere Datei mit elite.....) C:\windows\system32\msconfg.exe Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten #öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten O4 - HKLM\..\Run: [etbrun] C:\windows\system32\elitemkw32.exe PC neustarten •eScan-Erkennungstool eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich: http://www.mwti.net/antivirus/free_utilities.asp oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche kavupd.exe, die klickst du an--> (Update- in DOS) ausführen •Download NOD32 Antivirus System--> noch nicht scannen--> erst im abgesicherten Modus http://www.nod32.de/download/download.php Man sollte jedoch darauf achten, dass man die Einstellungen dahingehend ändert das ALLE DATEIEN durchsucht werden. Voreingestellt sind nur bestimmte Dateitypen. gehe in den abgesicherten Modus http://www.tu-berlin.de/www/software/virus/savemode.shtml #mit NOD32 Antivirus System--> scannen #mit Antivirus scannen #und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen : Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory •Beim Start von e-scan sollten folgende Optionen aktiviert sein: -->und "Scan " klicken. •Gehe wieder in den Normalmodus: •mache bitte folgendes: nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein •jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. •und ganz unten steht die zusammenfassung, diese auch hier posten _________________________________________________________________- INFO: infected by "Trojan.Win32.StartPage.nk" <C:\windows\system\elitenun32.exe <C:\WINDOWS\system32\elitemmr32.exe <C:\WINDOWS\protector_update.exe <C:\WINDOWS\TEMP\tmp9099.tmp <C:\WINDOWS\SYSTEM32\eliteerror32.dat Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: PE_PATCH.PECOMPACT, PECBUNDLE, PECOMPACT AntiVir TR/Dldr.Agent.GD.1 (0.70 seconds taken) Avast No viruses found (3.03 seconds taken) AVG Antivirus No viruses found (1.54 seconds taken) BitDefender Trojan.StartPage.NK (0.87 seconds taken) ClamAV Trojan.Startpage-212 (0.83 seconds taken) Dr.Web Trojan.Click.233 (0.84 seconds taken) F-Prot Antivirus No viruses found (0.20 seconds taken) Fortinet No viruses found (0.39 seconds taken) Kaspersky Anti-Virus Trojan.Win32.StartPage.nk (0.99 seconds taken) mks_vir Trojan.Startpage.Nk (0.21 seconds taken) NOD32 Win32/StartPage.NK (0.46 seconds taken) Norman Virus Control Sandbox: W32/Malware; [ General information * Creating several executable files on hard-drive. * File length: 15872 bytes. [ Changes to filesystem ] * Creates file C:\windows\system\elitenun32.exe. * Creates directory C:\WINDOWS\EliteToolBar. * Creates file C:\WINDOWS\TEMP\tmp9099.tmp. * Creates file C:\WINDOWS\SYSTEM\eliteerror32.dat. [ Changes to registry ] * Creates key "HKCU\Software\LQ". * Creates key "HKLM\Software\ohbbackup". * Creates key "HKLM\Software\Elitum". * Sets value "AD"="0" in key "HKCU\Software\LQ". * Sets value "AC"="0" in key "HKCU\Software\LQ". * Sets value "U"="0" in key "HKCU\Software\LQ". * Sets value "I"="{000000-0000-000000" in key "HKCU\Software\LQ". * Sets value "TM"="10" in key "HKCU\Software\LQ". * Creates value "antiware"="c:\windows\system\elitenun32.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run". [ Network services ] * Looks for an Internet connection. * Downloads file from *http://update32.searchmiracle.com/update.php?0&c=L&os=XP&init=1&id={000000-0000-000000&v=3.2&country=&state=&city=* as C:\WINDOWS\TEMP\tmp9099.tmp. [ Process/window information ] * Creates a mutex l4ajgfGb. * Enumerates running processes. * Enumerates running processes several parses.... * Modifies other process memory. * Creates a remote thread. * Will automatically restart after boot (I'll be back...). (1.56 seconds taken) Trojan.Win32.StartPage.nk" C:\windows\system32\kalvtrl32.exe C:\WINDOWS\system32\eliteavi32.exe C:\WINDOWS\system32\eliteclr32.exe C:\WINDOWS\system32\eliteehc32.exe C:\WINDOWS\system32\eliteevl32.exe C:\WINDOWS\system32\eliteewg32.exe C:\WINDOWS\system32\elitefeg32.exe C:\WINDOWS\system32\eliteflf32.exe C:\WINDOWS\system32\elitefmj32.exe C:\WINDOWS\system32\eliteggs32.exe C:\WINDOWS\system32\elitegov32.exe C:\WINDOWS\system32\elitehxt32.exe C:\WINDOWS\system32\eliteiif32.exe C:\WINDOWS\system32\elitejho32.exe C:\WINDOWS\system32\elitekex32.exe C:\WINDOWS\system32\elitekpc32.exe C:\WINDOWS\system32\elitektl32.exe C:\WINDOWS\system32\elitelgl32.exe C:\WINDOWS\system32\elitemoa32.exe C:\WINDOWS\system32\eliteotd32.exe C:\WINDOWS\system32\elitepys32.exe C:\WINDOWS\system32\eliterdj32.exe C:\WINDOWS\system32\elitesuz32.exe C:\WINDOWS\system32\elitetcd32.exe C:\WINDOWS\system32\elitevam32.exe C:\WINDOWS\system32\elitevte32.exe C:\WINDOWS\system32\elitewfy32.exe C:\WINDOWS\system32\elitewgf32.exe C:\WINDOWS\system32\elitexwy32.exe C:\WINDOWS\system32\eliteycr32.exe C:\WINDOWS\system32\eliteyfd32.exe C:\WINDOWS\system32\eliteyuy32.exe C:\WINDOWS\system32\error32.dat C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\DXEXMQN8\protector_update[1].exe AdWare.ToolBar.EliteBar.v" C:\WINDOWS\sideb.exe AdWare.ToolBar.EliteBar.q" C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Z5GQZ6PZ\silent_install[1].exe Trojan.Win32.StartPage.nk" C:\winnt\system32\elitemmr32.exe C:\WINNT\protector_update.exe C:\WINNT\system\elitenun32.exe C:\WINNT\TEMP\tmp9099.tmp C:\WINNT\system32\eliteerror32.dat <181 21:17:28.828 elitezzi32.exe:1944 IRP_MJ_CREATE C:\WINDOWS\System32\eliteerror32.dat <520 21:17:28.828 elitezzi32.exe:1944 CreateKey HKCU\Software\LQ SUCCESS Access: 0x2000000 <530 21:17:32.875 elitezzi32.exe:1944 OpenKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS Access: 0x20006 <531 21:17:32.875 elitezzi32.exe:1944 SetValue HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antiware SUCCESS "C:\windows\system32\elitezzi32.exe" <532 21:17:32.875 elitezzi32.exe:1944 CloseKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SUCCESS __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
ihr seit meine letzte hoffnung ;-))))
Da es zuviel wäre jetzt wieder von anfang an alles zu beschreiben, poste ich euch am besten mal das was ich im GIGA Forum gepostet habe und bis jetzt erreicht bzw an antwort bekommen hab. Bitte hilft mir weiter ...
******************************************************
Wie -W32/PARITE.B- löschen
Hallo Community,
ich hab seit gestern das Problem das mein Antivir den oben genannten Wurm meldet. Hab mehreremals gescannt. Dann entweder repariert oder gelöscht.
Doch bei jeder Neuprüfung ist der Virus auf irgendeiner anderen Datei.
Wie kann ich dieses lästige sch... Ding loswerden ??? Und bitte nicht gleich formatieren der Festplatte. Wäre cool wenn einer mir hier helfen könnte.
Grüsse
HG
*************************************************
andere USER
AW: Wie -W32/PARITE.B- löschen
http://www.bitdefender.com/bd/site/..._id=1&v_id=137#
Unten auf "Download Removal tool" klicken.
Damit hats bei mir geklappt.
*************************************************
anderer USER
Wenn W32/Parite-B ausgeführt wurde, verbleibt er im Speicher und infiziert alle PE- und SCR-Dateien auf jedem Laufwerk und auf jeder Netzwerkfreigabe.
Der hauptsächliche Virencode wird in einer zufällig benannten TMP-Datei im Windows-temp-Verzeichnis abgelegt. Die Datei hat eine Größe von 172 KB.
**************************************************
wieder ich
danke für die vielen antworten...
Aber ich brauche jetzt mal eure Hilfe.
Ich hab gestern das removal tool drüberlaufen lassen. Meldung gab es keine. Nach mehreren scans mit antivir war dann soweit alles gelöscht . Nach zwei drei stunden habe ich dann wieder die ersten Meldungen über einen trojaner bekommen. Der Virus blieb "noch" aus.
1. Was sollte ich jetzt am besten tun um dieses ding loszuwerden. Ich denke mal formatieren der kompletten Laufwerke wäre am sichersten (leider auch mit Verlust verbunden). Wenn ich dies machen soll, bitte ich euch um eine genaue Anleitung wie es am effektivsten wäre.
2. Es wurde hier geraten von dem IE abstand zu halten und auf Mozilla umzusteigen. Wie macht man das und was passiert mit IE.
3. Ich zock auch im Internet diverse spiele. Wenn ich jetzt ein neues Benutzerkonto eröffne verhindere ich ja das downloaden im Internet. Wie ist das mit den spielen die sich ja teilweise downloaden (beispiel Counter strike). Was ist mit den Sachen die im Desktop auf der Administratorfläche gezeigt werden und nicht in dem neuen Benutzerkonto. muss man diese verschieben , wenn ja , wie ???
Achso, was ich vergessen habe ist das seit dem ich dieses teil hab, mir zwischendurch wenn ich online irgendwelche fenster immer aufgehen als wenn ich im Netz was angeklickt hätte (ich meine keine Werbung) ... liegt das am Virus???
Noch eine Frage , welches Virenprogramm wäre am besten bzw sichersten und welches macht die wenigsten Probleme mit anderen Programmen (hab gelesen das manche gerade für zocker nicht gerade gut sind)
Ich wäre um eure Hilfe sehr dankbar aber bitte nicht mit sooooo vielen fremdwörtern um euch schmeissen da ich nicht der Vollprofi bin.
Falls sich jemand dieser Sache ernsthaft annehmen will kann man mich auch unter MSN erreichen Luis76@hotmail.de . Ich bin dann heute abend um 21.00 Uhr online ... falls nicht dann einfach eine mail schicken.
Danke Leute
Grüsse HG
***************************************************
soooo vielleicht kann sich hier einer ein Bild oder eine Vermutung machen...
.... blääääääääärrrrrrrrrrrrrrrr ......
Grüsse HG
was mir noch aufgefallen ist , dass ich jetzt oben eine toolbar habe und bei fast jedem seitenwechsel oder klick , eine suchmaschine sich mitöffnet.
***************************************
so jetztz habe ich nochmal antivir gestartet und diesmal ist es folgender virus
HTML/Expl.lframeBof2